++Презентация ЭХиПЗ Лекция dededeed10.potx
zuli117
1 views
20 slides
Sep 22, 2025
Slide 1 of 20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
About This Presentation
edededfedede
Slide Content
Безопасность облачных
вычислений
Преподаватель:Батыргалиев Асхат Болатканович, PhD,
ассоц.проф. кафедры «Кибербезопасность, обработка и
хранение информации»
[email protected]
Дисциплина «Этичный хакинг и противодействие взлому»
Лекция 10
вычислений
Преподаватель:Батыргалиев Асхат Болатканович, PhD,
ассоц.проф. кафедры «Кибербезопасность, обработка и
хранение информации»
[email protected]
Дисциплина «Этичный хакинг и противодействие взлому»
Лекция 10
Содержание
1.Основные понятия облачных вычислений
2.Определение безопасности облака
3.Как работает безопасность облака
4.Отличие подходов в обеспечении безопасности
облака от традиционных подходов
5.Защита облака
6.Меры обеспечения облачной безопасности
1.Основные понятия облачных вычислений
2.Определение безопасности облака
3.Как работает безопасность облака
4.Отличие подходов в обеспечении безопасности
облака от традиционных подходов
5.Защита облака
6.Меры обеспечения облачной безопасности
По завершению лекции Вы будете знать:
1.Основные понятия облачных вычислений
2.Определение безопасности облака
3.Работу безопасности облака
4.Отличие подходов в обеспечении безопасности
облака от традиционных подходов
5.Защиту облака
6.Меры обеспечения облачной безопасности
1.Основные понятия облачных вычислений
2.Определение безопасности облака
3.Работу безопасности облака
4.Отличие подходов в обеспечении безопасности
облака от традиционных подходов
5.Защиту облака
6.Меры обеспечения облачной безопасности
Основные понятия облачных вычислений
Облачныевычисления(CC,cloudcomputing) –этотехнологияраспределённой
обработкиданных,вкоторойкомпьютерныересурсыимощностипредоставляются
пользователюкакинтернет-сервис.
❑Инфраструктуракаксервис–этопредоставлениекомпьютерной
инфраструктурыкакуслугинаосновеконцепцииоблачныхвычислений.
❑Платформакаксервис–этопредоставлениеинтегрированнойплатформыдля
разработки,тестирования,развертыванияиподдержкивеб-приложенийкак
услуги.
❑Программноеобеспечениекаксервис–модельразвертыванияприложения,
котораяподразумеваетпредоставлениеприложенияконечномупользователюкак
услугипотребованию.Доступ ктакомуприложениюосуществляется
посредствомсети,ачащевсегопосредствомИнтернет-браузера.
❑Частноеоблако–этовариантлокальнойреализации«облачнойконцепции»,
когдакомпаниясоздаетеедлясебясамой,врамкаходнойорганизации.
❑Публичноеоблако–используетсяоблачнымипровайдерамидляпредоставления
сервисоввнешнимзаказчикам.
❑Распределенныевычисления–технологиякогдабольшаяресурсоёмкая
вычислительнаязадачараспределяетсядлявыполнениямеждумножеством
компьютеров,объединённыхвмощныйвычислительныйкластерсетьюили
интернетом.
Облачныевычисления(CC,cloudcomputing) –этотехнологияраспределённой
обработкиданных,вкоторойкомпьютерныересурсыимощностипредоставляются
пользователюкакинтернет-сервис.
❑Инфраструктуракаксервис–этопредоставлениекомпьютерной
инфраструктурыкакуслугинаосновеконцепцииоблачныхвычислений.
❑Платформакаксервис–этопредоставлениеинтегрированнойплатформыдля
разработки,тестирования,развертыванияиподдержкивеб-приложенийкак
услуги.
❑Программноеобеспечениекаксервис–модельразвертыванияприложения,
котораяподразумеваетпредоставлениеприложенияконечномупользователюкак
услугипотребованию.Доступ ктакомуприложениюосуществляется
посредствомсети,ачащевсегопосредствомИнтернет-браузера.
❑Частноеоблако–этовариантлокальнойреализации«облачнойконцепции»,
когдакомпаниясоздаетеедлясебясамой,врамкаходнойорганизации.
❑Публичноеоблако–используетсяоблачнымипровайдерамидляпредоставления
сервисоввнешнимзаказчикам.
❑Распределенныевычисления–технологиякогдабольшаяресурсоёмкая
вычислительнаязадачараспределяетсядлявыполнениямеждумножеством
компьютеров,объединённыхвмощныйвычислительныйкластерсетьюили
интернетом.
Определение безопасности облака
Безопасностьоблака–эторазделкибербезопасности,посвященныйзащите
облачныхвычислительныхсистем.Сюдавходитзащитаконфиденциальностииданных
вовсехобъектахсетевойинфраструктуры,онлайн-приложенияхиплатформах.
Участвоватьвэтомдолжныкакпоставщикиоблачныхуслуг,такипользователи,будьто
частныелица,малые исредниепредприятияиликорпорации.
Облачныеслужбыразмещаютсянасерверахспостояннымподключениемк
интернету.Поставщикирассчитываютнадовериепользователей,поэтомувих
интересахобеспечиватьнеприкосновенностьхранящихсявоблакеличныхданных.Тем
неменееоблачнаябезопасностьотчастинаходитсяврукахсамихпользователей.Для
надежнойзащитыважно,чтобыобестороныпонималисвоюответственность.
Безопасностьоблака–этосовокупностькатегорий:
❑безопасностьданных;
❑управлениеидентификациейидоступом;
❑административныйконтроль(политикапредотвращения,обнаруженияиустранения
угроз);
❑планированиехраненияданныхиобеспечениянепрерывностибизнеса;
❑соблюдениенормативно-правовыхтребований.
Напервыйвзглядможетпоказаться,чтодляобеспечениябезопасностивоблаке
подходяттежеметоды,чтоивтрадиционныхIT-средах,ноэтонетак.
Безопасностьоблака–эторазделкибербезопасности,посвященныйзащите
облачныхвычислительныхсистем.Сюдавходитзащитаконфиденциальностииданных
вовсехобъектахсетевойинфраструктуры,онлайн-приложенияхиплатформах.
Участвоватьвэтомдолжныкакпоставщикиоблачныхуслуг,такипользователи,будьто
частныелица,малые исредниепредприятияиликорпорации.
Облачныеслужбыразмещаютсянасерверахспостояннымподключениемк
интернету.Поставщикирассчитываютнадовериепользователей,поэтомувих
интересахобеспечиватьнеприкосновенностьхранящихсявоблакеличныхданных.Тем
неменееоблачнаябезопасностьотчастинаходитсяврукахсамихпользователей.Для
надежнойзащитыважно,чтобыобестороныпонималисвоюответственность.
Безопасностьоблака–этосовокупностькатегорий:
❑безопасностьданных;
❑управлениеидентификациейидоступом;
❑административныйконтроль(политикапредотвращения,обнаруженияиустранения
угроз);
❑планированиехраненияданныхиобеспечениянепрерывностибизнеса;
❑соблюдениенормативно-правовыхтребований.
Напервыйвзглядможетпоказаться,чтодляобеспечениябезопасностивоблаке
подходяттежеметоды,чтоивтрадиционныхIT-средах,ноэтонетак.
Определение безопасности облака
Определение безопасности облака
Безопасностьоблакавключаетвсебянабортехнологий,протоколовинаработокдлязащиты
облачныхсред,приложений иданных.Дляначаланеобходимопонять,чтоименнонужнозащищатьи
какиеаспектысистемтребуютуправления.
Вцеломборьбасуязвимостямипроисходитпреимущественнонасервернойстороне:это
обязанностьпоставщикаоблачныхуслуг.Ноиуклиентовестьсвоиобязанности,помимовыбора
надежногопоставщика.Клиентыдолжныправильноиспользоватьнастройкизащиты,уметьбезопасно
пользоватьсяслужбами,атакжезаботиться озащитевсехустройствисетейконечныхпользователей.
Независимоотуровняответственностивсемерыбезопасностиоблаканаправленыназащиту
следующихкомпонентов:
▪физическиесети–маршрутизаторы,электросети,кабели,системыкондиционированиявоздуха
идр.;
▪носителиданных–жесткиедискиидр.;
▪серверыданных–аппаратноеипрограммноеобеспечениеопорнойсети;
▪сетивиртуализации–ПОдлявиртуальныхмашин,хост-компьютеры,гостевыевиртуальные
машины;
▪операционныесистемы–программноеобеспечение,накотороеустанавливаютсявсеостальные
программы;
▪связующиепрограммы–ПОдляуправленияинтерфейсамипрограммированияприложений;
▪средывыполнения–средствазапускаиподдержанияработыпрограмм;
▪данные–всяинформация,котораяхранится,изменяетсяипредоставляетсяпользователям;
▪приложения–традиционныепрограммныесервисы(электроннаяпочта,налоговоеПО,офисные
приложенияидр.);
▪оборудованиеконечногопользователя–компьютеры,мобильныеустройства,устройства
интернетавещейидр.
Безопасностьоблакавключаетвсебянабортехнологий,протоколовинаработокдлязащиты
облачныхсред,приложений иданных.Дляначаланеобходимопонять,чтоименнонужнозащищатьи
какиеаспектысистемтребуютуправления.
Вцеломборьбасуязвимостямипроисходитпреимущественнонасервернойстороне:это
обязанностьпоставщикаоблачныхуслуг.Ноиуклиентовестьсвоиобязанности,помимовыбора
надежногопоставщика.Клиентыдолжныправильноиспользоватьнастройкизащиты,уметьбезопасно
пользоватьсяслужбами,атакжезаботиться озащитевсехустройствисетейконечныхпользователей.
Независимоотуровняответственностивсемерыбезопасностиоблаканаправленыназащиту
следующихкомпонентов:
▪физическиесети–маршрутизаторы,электросети,кабели,системыкондиционированиявоздуха
идр.;
▪носителиданных–жесткиедискиидр.;
▪серверыданных–аппаратноеипрограммноеобеспечениеопорнойсети;
▪сетивиртуализации–ПОдлявиртуальныхмашин,хост-компьютеры,гостевыевиртуальные
машины;
▪операционныесистемы–программноеобеспечение,накотороеустанавливаютсявсеостальные
программы;
▪связующиепрограммы–ПОдляуправленияинтерфейсамипрограммированияприложений;
▪средывыполнения–средствазапускаиподдержанияработыпрограмм;
▪данные–всяинформация,котораяхранится,изменяетсяипредоставляетсяпользователям;
▪приложения–традиционныепрограммныесервисы(электроннаяпочта,налоговоеПО,офисные
приложенияидр.);
▪оборудованиеконечногопользователя–компьютеры,мобильныеустройства,устройства
интернетавещейидр.
Определение безопасности облака
Определение безопасности облака
Вслучаеоблачныхтехнологийневсегдалегкоопределить,ктонесетответственностьзакаждый
изэтихкомпонентов,врезультатечегоразмываютсясоответствующиеобязанностиклиентов.
Посколькупроцессзащитыоблаказависитоттого,ктозакакиекомпонентыотвечает,важнопонимать
принципклассификацииэтихкомпонентов.
Дляпростотыкомпонентыоблачныхсистемможноразделитьнадвеосновныегруппы.
1.Облачныеслужбыразныхтиповпредоставляютсястороннимипоставщиками ввидемодулей,
изкоторыхскладываетсяоблачнаясреда.Взависимостиоттипаслужбыможеттребоватьсяуправление
разнымикомпонентами,составляющимитуилиинуюслужбу.
❑Влюбойстороннейоблачнойслужбепоставщикуправляетфизическойсетью,хранилищем
данных,серверамиисистемамивиртуализации.Службаразмещаетсянасерверахпоставщикаи
посредствомвиртуализациипредоставляетсяклиентамдляудаленногодоступа.Такимобразом
поставщикэкономитнаоборудовании иинфраструктуре,апользователиполучаютдоступк
необходимымвычислительнымвозможностямчерезинтернет;
❑ОблачныеслужбыSoftware-as-a-Service(программноеобеспечениекакуслуга,SaaS)дают
пользователямдоступкприложениям,которыепростохранятся изапускаютсянасерверах
поставщика.Поставщикуправляетприложениями,данными,средойвыполнения,связующими
программамииоперационнойсистемой.Клиентамостаетсялишьполучитьдоступ ксвоим
приложениям.ПримерыSaaS:GoogleДиск,Slack,Salesforce,Microsoft365,CiscoWebEx,Evernote;
❑ОблачныеслужбыPlatform-as-a-Service(платформакакуслуга,PaaS)позволяютклиенту
разрабатыватьсвоиприложения,которыезапускаютсявегособственной«песочнице»насервере
поставщика.Поставщикуправляетсредойвыполнения,связующимипрограммамииоперационной
системой.Клиентысамостоятельноуправляютсвоимиприложениями,данными,пользовательским
доступом,устройствамиисетямиконечныхпользователей.ПримерыPaaS:GoogleAppEngine,
WindowsAzure;
Вслучаеоблачныхтехнологийневсегдалегкоопределить,ктонесетответственностьзакаждый
изэтихкомпонентов,врезультатечегоразмываютсясоответствующиеобязанностиклиентов.
Посколькупроцессзащитыоблаказависитоттого,ктозакакиекомпонентыотвечает,важнопонимать
принципклассификацииэтихкомпонентов.
Дляпростотыкомпонентыоблачныхсистемможноразделитьнадвеосновныегруппы.
1.Облачныеслужбыразныхтиповпредоставляютсястороннимипоставщиками ввидемодулей,
изкоторыхскладываетсяоблачнаясреда.Взависимостиоттипаслужбыможеттребоватьсяуправление
разнымикомпонентами,составляющимитуилиинуюслужбу.
❑Влюбойстороннейоблачнойслужбепоставщикуправляетфизическойсетью,хранилищем
данных,серверамиисистемамивиртуализации.Службаразмещаетсянасерверахпоставщикаи
посредствомвиртуализациипредоставляетсяклиентамдляудаленногодоступа.Такимобразом
поставщикэкономитнаоборудовании иинфраструктуре,апользователиполучаютдоступк
необходимымвычислительнымвозможностямчерезинтернет;
❑ОблачныеслужбыSoftware-as-a-Service(программноеобеспечениекакуслуга,SaaS)дают
пользователямдоступкприложениям,которыепростохранятся изапускаютсянасерверах
поставщика.Поставщикуправляетприложениями,данными,средойвыполнения,связующими
программамииоперационнойсистемой.Клиентамостаетсялишьполучитьдоступ ксвоим
приложениям.ПримерыSaaS:GoogleДиск,Slack,Salesforce,Microsoft365,CiscoWebEx,Evernote;
❑ОблачныеслужбыPlatform-as-a-Service(платформакакуслуга,PaaS)позволяютклиенту
разрабатыватьсвоиприложения,которыезапускаютсявегособственной«песочнице»насервере
поставщика.Поставщикуправляетсредойвыполнения,связующимипрограммамииоперационной
системой.Клиентысамостоятельноуправляютсвоимиприложениями,данными,пользовательским
доступом,устройствамиисетямиконечныхпользователей.ПримерыPaaS:GoogleAppEngine,
WindowsAzure;
Определение безопасности облака
❑ОблачныеслужбыInfrastructure-as-a-Service(инфраструктуракакуслуга,IaaS)–этооборудованиеи
возможностиудаленногоподключения,позволяющиеклиентамразмещатьвоблакевсеихвычислительные
ресурсы,вплотьдооперационнойсистемы.Поставщикуправляеттолькоосновнымиоблачнымислужбами.
Клиентыотвечаютзаоперационнуюсистемуивсе,чтонанейустанавливается,включаяприложения,данные,
средывыполненияисвязующиепрограммы.Онитакжеуправляютпользовательскимдоступом,устройствами
исетямиконечныхпользователей.ПримерыIaaS:MicrosoftAzure,GoogleComputeEngine(GCE),AmazonWeb
Services(AWS).
2.Облачныесредыпредставляютсобойтакиемоделиразвертывания,вкоторыхприпомощиоднойили
несколькихоблачныхслужбсоздаетсясистемадляконечныхпользователейиорганизаций.Такимобразом
обязанностипоуправлению(втомчислеобеспечениебезопасности)разделяютсямеждуклиентамии
поставщиками.
Наданныймоментиспользуютсяследующиеоблачныесреды:
❑Публичныеоблачныесредысостоятизоблачныхслужб,предназначенныхдлянесколькихарендаторов.В
такихсредахнесколькоклиентовделятмеждусобойсерверыодногопоставщика,наподобиеарендыофисного
зданиявбизнес-центре.Доступкэтимстороннимслужбамподуправлениемпоставщикапредоставляется
черезвеб-интерфейс.
❑Вчастныхстороннихоблачныхсредахпоставщикпредоставляетклиентусобственноеоблаков
исключительноепользование.Этосреды,предназначенныедляодногоарендатора,которые,какправило,
находятсявсобственности,подконтролемиудаленнымуправлениемвнешнегопоставщика.
❑Частныевнутренниеоблачныесредытакжесостоятизоблачныхсерверов,рассчитанныхнаодного
арендатора,ноуправляютсяизсобственногоцентраобработкиданных.Вэтомслучаекомпаниясама
управляетоблачнойсредой,контролируявсенастройкииустановкукаждогоэлемента.
❑Многооблачныесредыпредполагаютиспользованиедвухиболееоблачныхслужботразныхпоставщиков,
приэтомоблакамогутбытьпубличными,частнымиилисмешанными.
❑Гибридныеоблачныесреды–этокомбинациячастногостороннегооблака и(или)локальногочастного
облачногоцентраобработкиданныхсоднойилинесколькимипубличнымиоблачнымислужбами.
❑ОблачныеслужбыInfrastructure-as-a-Service(инфраструктуракакуслуга,IaaS)–этооборудованиеи
возможностиудаленногоподключения,позволяющиеклиентамразмещатьвоблакевсеихвычислительные
ресурсы,вплотьдооперационнойсистемы.Поставщикуправляеттолькоосновнымиоблачнымислужбами.
Клиентыотвечаютзаоперационнуюсистемуивсе,чтонанейустанавливается,включаяприложения,данные,
средывыполненияисвязующиепрограммы.Онитакжеуправляютпользовательскимдоступом,устройствами
исетямиконечныхпользователей.ПримерыIaaS:MicrosoftAzure,GoogleComputeEngine(GCE),AmazonWeb
Services(AWS).
2.Облачныесредыпредставляютсобойтакиемоделиразвертывания,вкоторыхприпомощиоднойили
несколькихоблачныхслужбсоздаетсясистемадляконечныхпользователейиорганизаций.Такимобразом
обязанностипоуправлению(втомчислеобеспечениебезопасности)разделяютсямеждуклиентамии
поставщиками.
Наданныймоментиспользуютсяследующиеоблачныесреды:
❑Публичныеоблачныесредысостоятизоблачныхслужб,предназначенныхдлянесколькихарендаторов.В
такихсредахнесколькоклиентовделятмеждусобойсерверыодногопоставщика,наподобиеарендыофисного
зданиявбизнес-центре.Доступкэтимстороннимслужбамподуправлениемпоставщикапредоставляется
черезвеб-интерфейс.
❑Вчастныхстороннихоблачныхсредахпоставщикпредоставляетклиентусобственноеоблаков
исключительноепользование.Этосреды,предназначенныедляодногоарендатора,которые,какправило,
находятсявсобственности,подконтролемиудаленнымуправлениемвнешнегопоставщика.
❑Частныевнутренниеоблачныесредытакжесостоятизоблачныхсерверов,рассчитанныхнаодного
арендатора,ноуправляютсяизсобственногоцентраобработкиданных.Вэтомслучаекомпаниясама
управляетоблачнойсредой,контролируявсенастройкииустановкукаждогоэлемента.
❑Многооблачныесредыпредполагаютиспользованиедвухиболееоблачныхслужботразныхпоставщиков,
приэтомоблакамогутбытьпубличными,частнымиилисмешанными.
❑Гибридныеоблачныесреды–этокомбинациячастногостороннегооблака и(или)локальногочастного
облачногоцентраобработкиданныхсоднойилинесколькимипубличнымиоблачнымислужбами.
Как работает безопасность облака
Каждаямерадляоблачнойбезопасностинацеленанавыполнениеоднойили
несколькихследующихзадач:
❑восстановлениеданныхвслучаеихутери;
❑защитахранилищданныхисетейоткражиданных;
❑предотвращениечеловеческихошибокинебрежности,приводящихкутечкеданных;
❑сокращениепоследствийлюбоговзломаданныхилисистемы.
Безопасностьданных–этоаспектоблачнойбезопасности,связанныйс
техническойсторонойпредотвращенияугроз.Технологиипозволяютпоставщиками
клиентамделатьконфиденциальныеданныеневидимымиинедоступными.Самая
мощнаяиздоступныхтехнологийтакогорода–шифрование.Шифрованиеделаетваши
данныеполностьюнечитаемыми,ивосстановитьихсможеттолькотот,укогоестьключ
шифрования.Дажеесливашизашифрованныеданныебудутукрадены,воспользоваться
иминеполучится.Воблачныхсетяхтакжеважнысредствазащитыпередаваемых
данных,такиекаквиртуальныечастныесети(VPN).
Управлениеидентификациейидоступом(IAM)связаносправамидоступа,
предоставляемымпользователям.Сюдатакжеотноситсяуправлениеаутентификациейи
авторизациейучетныхзаписей.Контрольдоступапозволяетограничитьпользователям
доступ кзакрытымданнымисистемамираспространяетсякакнапроверенных
пользователей,такинапотенциальныхзлоумышленников.Управлениепаролями,
многофакторнаяаутентификация–эти идругиеметодызащитыотносятсякIAM.
Каждаямерадляоблачнойбезопасностинацеленанавыполнениеоднойили
несколькихследующихзадач:
❑восстановлениеданныхвслучаеихутери;
❑защитахранилищданныхисетейоткражиданных;
❑предотвращениечеловеческихошибокинебрежности,приводящихкутечкеданных;
❑сокращениепоследствийлюбоговзломаданныхилисистемы.
Безопасностьданных–этоаспектоблачнойбезопасности,связанныйс
техническойсторонойпредотвращенияугроз.Технологиипозволяютпоставщиками
клиентамделатьконфиденциальныеданныеневидимымиинедоступными.Самая
мощнаяиздоступныхтехнологийтакогорода–шифрование.Шифрованиеделаетваши
данныеполностьюнечитаемыми,ивосстановитьихсможеттолькотот,укогоестьключ
шифрования.Дажеесливашизашифрованныеданныебудутукрадены,воспользоваться
иминеполучится.Воблачныхсетяхтакжеважнысредствазащитыпередаваемых
данных,такиекаквиртуальныечастныесети(VPN).
Управлениеидентификациейидоступом(IAM)связаносправамидоступа,
предоставляемымпользователям.Сюдатакжеотноситсяуправлениеаутентификациейи
авторизациейучетныхзаписей.Контрольдоступапозволяетограничитьпользователям
доступ кзакрытымданнымисистемамираспространяетсякакнапроверенных
пользователей,такинапотенциальныхзлоумышленников.Управлениепаролями,
многофакторнаяаутентификация–эти идругиеметодызащитыотносятсякIAM.
Как работает безопасность облака
Административныйконтрольсосредоточеннаполитикепредотвращения,
обнаруженияиустраненияугроз.Такиеподходы,каканализугроз,могутпомочь
предприятиямразныхразмероввотслеживаниииприоритизацииугроз,чтобызащитить
важнейшиесистемы.Индивидуальнымклиентамтоженепомешаетзнать,какбезопасно
пользоватьсяоблачнымислужбами.Обычноэтокасаетсяорганизаций,однакоправила
безопасногопользованиясистемойиреагированиянаугрозыпригодятсялюбому
пользователю.
Планированиехраненияданныхиобеспечениянепрерывностибизнеса
включаетмерывосстановленияутерянныхданныхвслучаетехническогосбоя.При
планированииопираютсянаметодыдублированияинформации,напримернасоздание
резервныхкопий.Крометого,непомешаюттехническиесредстваобеспечения
бесперебойнойработы.Хорошийпланобеспечениянепрерывностибизнесадолжен
такжевключатьпроверкудействительностирезервныхкопийиподробныеинструкции
повосстановлениюданныхдлясотрудников.
Соблюдениенормативно-правовыхтребованийгарантируетзащиту
конфиденциальныхданныхпользователейвсоответствиисзаконом.Государство
заботитсяотом,чтобыличныеданныелюдейнеиспользовалисьвкоммерческихцелях,
обязываяорганизациисоблюдатьустановленныетребования,напримермаскировать
данные,тоестьиспользоватьшифрованиедляскрытияличностипользователя.
Административныйконтрольсосредоточеннаполитикепредотвращения,
обнаруженияиустраненияугроз.Такиеподходы,каканализугроз,могутпомочь
предприятиямразныхразмероввотслеживаниииприоритизацииугроз,чтобызащитить
важнейшиесистемы.Индивидуальнымклиентамтоженепомешаетзнать,какбезопасно
пользоватьсяоблачнымислужбами.Обычноэтокасаетсяорганизаций,однакоправила
безопасногопользованиясистемойиреагированиянаугрозыпригодятсялюбому
пользователю.
Планированиехраненияданныхиобеспечениянепрерывностибизнеса
включаетмерывосстановленияутерянныхданныхвслучаетехническогосбоя.При
планированииопираютсянаметодыдублированияинформации,напримернасоздание
резервныхкопий.Крометого,непомешаюттехническиесредстваобеспечения
бесперебойнойработы.Хорошийпланобеспечениянепрерывностибизнесадолжен
такжевключатьпроверкудействительностирезервныхкопийиподробныеинструкции
повосстановлениюданныхдлясотрудников.
Соблюдениенормативно-правовыхтребованийгарантируетзащиту
конфиденциальныхданныхпользователейвсоответствиисзаконом.Государство
заботитсяотом,чтобыличныеданныелюдейнеиспользовалисьвкоммерческихцелях,
обязываяорганизациисоблюдатьустановленныетребования,напримермаскировать
данные,тоестьиспользоватьшифрованиедляскрытияличностипользователя.
Отличие подходов в обеспечении безопасности
облака от традиционных подходов
СпереходомнаоблачныевычислениятрадиционныйподходкIT-безопасности
претерпелогромныеизменения.Облачныесредыудобнее,однакопостоянное
подключениекинтернетутребуетновыхмербезопасности.Безопасностьоблакакак
болеесовременноерешениевсферекибербезопасностиотличаетсяоттрадиционных
подходоврядомаспектов.
Хранениеданных.Главноеотличиевтом,чтоболееранниемоделиIT
полагалисьналокальноехранениеданных.Темнеменее,несмотрянавозможность
полноценногоконтролябезопасности,локальныеIT-платформыдорогиине
отличаютсягибкостью.Облачныеплатформыпомогаютсэкономитьнаразработкеи
эксплуатациисистем,ноприэтомчастичнолишаютпользователейконтроля.
Скоростьмасштабирования.Аналогичнымобразомбезопасностьоблака
требуетособоговниманияпримасштабированиикорпоративныхIT-систем.Воблаке
используетсямодульнаяинфраструктураиприложениясвозможностьюбыстрой
мобилизации.Этооблегчаетадаптациюсистемыкорганизационнымпеременам,
однако,вследствиепотребностиорганизациивпостоянныхобновленияхиповышении
удобстваработы,постоянноприходитсязадумыватьсяобуровнебезопасности.
облака от традиционных подходов
СпереходомнаоблачныевычислениятрадиционныйподходкIT-безопасности
претерпелогромныеизменения.Облачныесредыудобнее,однакопостоянное
подключениекинтернетутребуетновыхмербезопасности.Безопасностьоблакакак
болеесовременноерешениевсферекибербезопасностиотличаетсяоттрадиционных
подходоврядомаспектов.
Хранениеданных.Главноеотличиевтом,чтоболееранниемоделиIT
полагалисьналокальноехранениеданных.Темнеменее,несмотрянавозможность
полноценногоконтролябезопасности,локальныеIT-платформыдорогиине
отличаютсягибкостью.Облачныеплатформыпомогаютсэкономитьнаразработкеи
эксплуатациисистем,ноприэтомчастичнолишаютпользователейконтроля.
Скоростьмасштабирования.Аналогичнымобразомбезопасностьоблака
требуетособоговниманияпримасштабированиикорпоративныхIT-систем.Воблаке
используетсямодульнаяинфраструктураиприложениясвозможностьюбыстрой
мобилизации.Этооблегчаетадаптациюсистемыкорганизационнымпеременам,
однако,вследствиепотребностиорганизациивпостоянныхобновленияхиповышении
удобстваработы,постоянноприходитсязадумыватьсяобуровнебезопасности.
Отличие подходов в обеспечении безопасности
облака от традиционных подходов
Взаимодействие ссистемойконечногопользователя.Облачныесистемы
взаимодействуютсомногимидругимисистемамиислужбами,которыетакже
необходимозащищать,причемэтосправедливокакдляорганизаций,такидля
индивидуальныхпользователей.Необходимоуправлениеправамидоступанавсех
уровнях:наустройствахконечныхпользователей,дляПОидажевсети.Крометого,
поставщикамипользователямнужноотслеживатьуязвимости,возникающиеиз-за
небезопасныхустановкиприложенийидоступаксистемам.
Близостькдругимданнымисистемамвсети.Постояннаясвязьмеждуоблакоми
пользователямисоздаетугрозудажедляпоставщикаоблачныхуслуг.Всетевойсреде
одинединственныйуязвимыйкомпонентможетстатьбрешьюдлякомпрометациивсей
системы.Предоставляяклиентамуслуги,включаяхранениеданных,поставщики
облачныхуслугпостоянноподвергаютсяопасности.Сохраняяданныенасобственные
системывместосистемконечныхпользователей,поставщикивынужденыпринимать
дополнительныемерыбезопасности.
Длярешениябольшинствапроблемоблачнойбезопасности–каквперсональной,
такивделовойсреде–требуетсяпроактивноеучастиеиклиентов,ипоставщиков.Это
означает,чтоитеидругиеравнымобразомдолжныуделятьвнимание:
•безопаснойнастройкеиобслуживаниюсистем;
•обучениюпользователейбезопасномуповедению и техническиммерам
безопасности.
облака от традиционных подходов
Взаимодействие ссистемойконечногопользователя.Облачныесистемы
взаимодействуютсомногимидругимисистемамиислужбами,которыетакже
необходимозащищать,причемэтосправедливокакдляорганизаций,такидля
индивидуальныхпользователей.Необходимоуправлениеправамидоступанавсех
уровнях:наустройствахконечныхпользователей,дляПОидажевсети.Крометого,
поставщикамипользователямнужноотслеживатьуязвимости,возникающиеиз-за
небезопасныхустановкиприложенийидоступаксистемам.
Близостькдругимданнымисистемамвсети.Постояннаясвязьмеждуоблакоми
пользователямисоздаетугрозудажедляпоставщикаоблачныхуслуг.Всетевойсреде
одинединственныйуязвимыйкомпонентможетстатьбрешьюдлякомпрометациивсей
системы.Предоставляяклиентамуслуги,включаяхранениеданных,поставщики
облачныхуслугпостоянноподвергаютсяопасности.Сохраняяданныенасобственные
системывместосистемконечныхпользователей,поставщикивынужденыпринимать
дополнительныемерыбезопасности.
Длярешениябольшинствапроблемоблачнойбезопасности–каквперсональной,
такивделовойсреде–требуетсяпроактивноеучастиеиклиентов,ипоставщиков.Это
означает,чтоитеидругиеравнымобразомдолжныуделятьвнимание:
•безопаснойнастройкеиобслуживаниюсистем;
•обучениюпользователейбезопасномуповедению и техническиммерам
безопасности.
Риски для безопасности облака
Отзнаниярисковзависит,какиемерыбезопасностибудутприниматься.Незащищеннаяоблачная
средаподвергаетпользователейипоставщиковвсемвидамкиберугроз:
•рискиоблачнойинфраструктуры,включаянесовместимыеустаревшиесистемыисбои всторонних
услугаххраненияданных;
•внутренниеугрозыиз-зачеловеческогофактора,напримерневернойнастройкипользовательского
доступа;
•внешниеугрозы,почтивсегдасвязанные сдействиямизлоумышленников,напримератаки
вредоносныхпрограмм,фишинговыеиDDoS-атаки;
Дляоблакаглавнымрискомявляетсяотсутствиепериметра.Традиционнаякиберзащитавпервую
очередьнаправленанаобеспечениебезопасностипериметра,нооблачныесредыоченьтесно
взаимосвязаны,азначит,небезопасныеAPI(интерфейсыпрограммированияприложений) икража
учетныхзаписейпредставляютсерьезнуюопасность.Учитываяспецификурисков,специалистыпо
кибербезопасноститеперьдолжныделатьупорименнонаконтрольданных.
Взаимосвязанностьтакжепредставляетпроблемудлясетей.Частопреступникипроникаютвсеть
черезвзломаннуюилинезащищеннуюучетнуюзапись.Еслизлоумышленникполучитдоступ коблаку,он
сможетвоспользоватьсяегоплохозащищеннымиинтерфейсами,чтобызаполучитьнужныеданныеиз
различныхбазданныхилиузлов.Болеетого,ондажеможетиспользоватьсвоисобственныеоблачные
серверыдляэкспортированияихраненияпохищенныхданных.Системабезопасностидолжназащищать
всеоблако,анетолькохранящиеся внемличныеданные.
Сторонниеуслугихраненияданныхионлайн-доступтакжепредставляютугрозу.Есливработе
какой-либослужбыпроизойдетсбой,вынесможетеполучитьдоступксвоимфайлам.Например,в
случаеперегрузкимобильнойсетивыможетевсамыйнеподходящиймоментоказатьсябездоступак
облаку.Илиотключениеэлектроэнергииможетзатронутьцентробработкиданных,вкоторомхранятся
вашиданные, идажепривестикихбезвозвратнойпотере.
Отзнаниярисковзависит,какиемерыбезопасностибудутприниматься.Незащищеннаяоблачная
средаподвергаетпользователейипоставщиковвсемвидамкиберугроз:
•рискиоблачнойинфраструктуры,включаянесовместимыеустаревшиесистемыисбои всторонних
услугаххраненияданных;
•внутренниеугрозыиз-зачеловеческогофактора,напримерневернойнастройкипользовательского
доступа;
•внешниеугрозы,почтивсегдасвязанные сдействиямизлоумышленников,напримератаки
вредоносныхпрограмм,фишинговыеиDDoS-атаки;
Дляоблакаглавнымрискомявляетсяотсутствиепериметра.Традиционнаякиберзащитавпервую
очередьнаправленанаобеспечениебезопасностипериметра,нооблачныесредыоченьтесно
взаимосвязаны,азначит,небезопасныеAPI(интерфейсыпрограммированияприложений) икража
учетныхзаписейпредставляютсерьезнуюопасность.Учитываяспецификурисков,специалистыпо
кибербезопасноститеперьдолжныделатьупорименнонаконтрольданных.
Взаимосвязанностьтакжепредставляетпроблемудлясетей.Частопреступникипроникаютвсеть
черезвзломаннуюилинезащищеннуюучетнуюзапись.Еслизлоумышленникполучитдоступ коблаку,он
сможетвоспользоватьсяегоплохозащищеннымиинтерфейсами,чтобызаполучитьнужныеданныеиз
различныхбазданныхилиузлов.Болеетого,ондажеможетиспользоватьсвоисобственныеоблачные
серверыдляэкспортированияихраненияпохищенныхданных.Системабезопасностидолжназащищать
всеоблако,анетолькохранящиеся внемличныеданные.
Сторонниеуслугихраненияданныхионлайн-доступтакжепредставляютугрозу.Есливработе
какой-либослужбыпроизойдетсбой,вынесможетеполучитьдоступксвоимфайлам.Например,в
случаеперегрузкимобильнойсетивыможетевсамыйнеподходящиймоментоказатьсябездоступак
облаку.Илиотключениеэлектроэнергииможетзатронутьцентробработкиданных,вкоторомхранятся
вашиданные, идажепривестикихбезвозвратнойпотере.
Защита облака
Шифрование–одинизлучшихспособовзащититьоблачныесистемы.Варианты
шифрования,которыемогутпредложитькакпоставщикоблачныхуслуг,такисторонний
поставщикзащитныхрешенийдляоблачныхсред:
❑шифрованиевсехсообщенийвоблаке;
❑шифрованиеособосекретныхданных,такихкакучетныеданные;
❑сквозноешифрованиевсехзагружаемыхвоблакоданных.
Наибольшемурискуперехватаданныеподвергаютсявовремяперемещения–из
одногохранилищавдругоеилиизоблакаввашелокальноеприложение.Такимобразом,
сквозноешифрованиелучшевсегогарантируетбезопасностькритичныхданныхв
облаке:неимеяключа,посторонниеникогданесмогутпрочестьвашисообщения.
Самостоятельноешифрованиеданныхпередихотправкойвоблакоили
использованиеоблачнойслужбы,котораяпредоставляеттакуюуслугу.Еслиоблако
используетсятолькодляхранениянеконфиденциальныхданных,напримеррекламных
роликовкомпании,использованиесквозногошифрованиябудетявнымперебором.
Однако,еслиречьидетоконфиденциальнойфинансовойилибизнес-информации,
сквозноешифрованиепростонеобходимо.
Еслииспользуетсяшифрование,необходимоучитыватьоважностибезопасного
хранениявашихключей.Требуетсяхранитьрезервнуюкопиюключа(желательнонев
облаке).Такжеимеетсмыслрегулярноменятьключишифрования.
Шифрование–одинизлучшихспособовзащититьоблачныесистемы.Варианты
шифрования,которыемогутпредложитькакпоставщикоблачныхуслуг,такисторонний
поставщикзащитныхрешенийдляоблачныхсред:
❑шифрованиевсехсообщенийвоблаке;
❑шифрованиеособосекретныхданных,такихкакучетныеданные;
❑сквозноешифрованиевсехзагружаемыхвоблакоданных.
Наибольшемурискуперехватаданныеподвергаютсявовремяперемещения–из
одногохранилищавдругоеилиизоблакаввашелокальноеприложение.Такимобразом,
сквозноешифрованиелучшевсегогарантируетбезопасностькритичныхданныхв
облаке:неимеяключа,посторонниеникогданесмогутпрочестьвашисообщения.
Самостоятельноешифрованиеданныхпередихотправкойвоблакоили
использованиеоблачнойслужбы,котораяпредоставляеттакуюуслугу.Еслиоблако
используетсятолькодляхранениянеконфиденциальныхданных,напримеррекламных
роликовкомпании,использованиесквозногошифрованиябудетявнымперебором.
Однако,еслиречьидетоконфиденциальнойфинансовойилибизнес-информации,
сквозноешифрованиепростонеобходимо.
Еслииспользуетсяшифрование,необходимоучитыватьоважностибезопасного
хранениявашихключей.Требуетсяхранитьрезервнуюкопиюключа(желательнонев
облаке).Такжеимеетсмыслрегулярноменятьключишифрования.
Защита облака
Конфигурация–мощноесредство варсеналезащитыоблака.Частовзломоблака
происходитиз-затакойэлементарнойуязвимости,какошибкаконфигурации.
Необходимоисключитьтакиеошибки,ирискутечкиданныхизоблакастанетгораздо
меньше:
▪нельзяиспользоватьнастройкипоумолчанию.Такоткрываетсявозможность
проникновениявсистему;
▪нельзяоставлятьоткрытымконтейнероблачногохранилища.Такпоявляется
возможностьпросмотрасодержимогоконтейнера,простооткрывегоURL-адрес;
▪еслипоставщикоблачныхуслугпредоставляетвозможностибезопасности,
которыеможновключить,необходимоиспользоватьих.Игнорируядоступные
возможности,повышаетсярискподверженностиатакам.
Элементарныепринципыкибербезопасности.
▪Использованиенадежныхпаролей.Пароли,включающиесочетаниябукв,цифри
специальныхсимволов,будетсложнеевзломать.необходимоизбегатьочевидных
замен(такихкакзаменабуквыSсимволом$).Случайныйнаборсимволов–лучший
вариант.
Конфигурация–мощноесредство варсеналезащитыоблака.Частовзломоблака
происходитиз-затакойэлементарнойуязвимости,какошибкаконфигурации.
Необходимоисключитьтакиеошибки,ирискутечкиданныхизоблакастанетгораздо
меньше:
▪нельзяиспользоватьнастройкипоумолчанию.Такоткрываетсявозможность
проникновениявсистему;
▪нельзяоставлятьоткрытымконтейнероблачногохранилища.Такпоявляется
возможностьпросмотрасодержимогоконтейнера,простооткрывегоURL-адрес;
▪еслипоставщикоблачныхуслугпредоставляетвозможностибезопасности,
которыеможновключить,необходимоиспользоватьих.Игнорируядоступные
возможности,повышаетсярискподверженностиатакам.
Элементарныепринципыкибербезопасности.
▪Использованиенадежныхпаролей.Пароли,включающиесочетаниябукв,цифри
специальныхсимволов,будетсложнеевзломать.необходимоизбегатьочевидных
замен(такихкакзаменабуквыSсимволом$).Случайныйнаборсимволов–лучший
вариант.
Защита облака
▪Использованиеменеджерапаролей–онпозволитсоздатьдлякаждого
приложения,набораданныхислужбыиндивидуальныепароли,которыененужно
будетзапоминать.Однаковэтомслучаеоченьважнозащититьнадежныммастер-
паролемсамменеджер.
▪Регулярныерезервныекопии,чтобывслучаенедоступностиоблачнойслужбы
илипотериданныхнасторонепоставщикавымоглиполностьювосстановить
информацию.Резервныекопиимогутхранитьсянавашемдомашнемкомпьютере,на
внешнемжесткомдискеилидажевдругомоблаке,есливыуверены,чтоэтидва
поставщикаоблачныхуслугнеиспользуютоднуитужеинфраструктуру.
▪Необходимоменятьразрешения,чтобыникакиепользователииустройстване
моглиполучитьдоступкданным,еслитольковэтомнебудетнеобходимости.
Компаниимогутобеспечитьэтопосредствомнастроекразрешенийбазыданных.
▪Защитаантивирусомиликомплекснымзащитнымрешением.
▪НельзяосуществлятьдоступкданнымчерезпубличныесетиWi-Fi,особенно
приотсутствиинадежногомеханизмааутентификации.Необходимоиспользовать
виртуальнуючастнуюсеть(VPN)длязащитыподключениякоблаку.
▪Использованиеменеджерапаролей–онпозволитсоздатьдлякаждого
приложения,набораданныхислужбыиндивидуальныепароли,которыененужно
будетзапоминать.Однаковэтомслучаеоченьважнозащититьнадежныммастер-
паролемсамменеджер.
▪Регулярныерезервныекопии,чтобывслучаенедоступностиоблачнойслужбы
илипотериданныхнасторонепоставщикавымоглиполностьювосстановить
информацию.Резервныекопиимогутхранитьсянавашемдомашнемкомпьютере,на
внешнемжесткомдискеилидажевдругомоблаке,есливыуверены,чтоэтидва
поставщикаоблачныхуслугнеиспользуютоднуитужеинфраструктуру.
▪Необходимоменятьразрешения,чтобыникакиепользователииустройстване
моглиполучитьдоступкданным,еслитольковэтомнебудетнеобходимости.
Компаниимогутобеспечитьэтопосредствомнастроекразрешенийбазыданных.
▪Защитаантивирусомиликомплекснымзащитнымрешением.
▪НельзяосуществлятьдоступкданнымчерезпубличныесетиWi-Fi,особенно
приотсутствиинадежногомеханизмааутентификации.Необходимоиспользовать
виртуальнуючастнуюсеть(VPN)длязащитыподключениякоблаку.
Защита облака
Решениядлябезопасностигибридныхоблачныхсред
Службыбезопасностигибридныхоблачныхсредмогутстатьразумнымвыбором
длябизнес-клиентов.Онибольшеподходятдлябизнеса,потомучтоони,какправило,
слишкомсложныдляперсональногопользования.Сочетаниемасштабируемостии
доступностиоблакаслокальнымконтролемопределенныхданных–этото,чтонужно
малым исреднимпредприятиямикорпорациям.
Преимуществагибридныхоблачныхсредсточкизрениябезопасности.
Сегментацияслужбпозволяеторганизацииконтролироватьхранениеданныхи
доступкним.Например,можносоздатьнесколькоуровнейбезопасности,загрузив
основныеданные,приложенияипроцессы воблакоиоставивнаиболее
конфиденциальнуюинформациюподлокальнымконтролем.Крометого,разделение
данныхпоможеторганизациисоблюстиправовыеположенияозащитеинформации.
Избыточность–ещеоднопреимуществогибридныхоблачныхсред.Можно
перенестиповседневнуюдеятельность впубличноеоблакоисоздаватьрезервные
копиисистемналокальныхсерверах.Такработабудетпродолженадаже вслучае
потерисоединениясоднимизцентровобработкиданныхилиегозаражения
программой-вымогателем.
Решениядлябезопасностигибридныхоблачныхсред
Службыбезопасностигибридныхоблачныхсредмогутстатьразумнымвыбором
длябизнес-клиентов.Онибольшеподходятдлябизнеса,потомучтоони,какправило,
слишкомсложныдляперсональногопользования.Сочетаниемасштабируемостии
доступностиоблакаслокальнымконтролемопределенныхданных–этото,чтонужно
малым исреднимпредприятиямикорпорациям.
Преимуществагибридныхоблачныхсредсточкизрениябезопасности.
Сегментацияслужбпозволяеторганизацииконтролироватьхранениеданныхи
доступкним.Например,можносоздатьнесколькоуровнейбезопасности,загрузив
основныеданные,приложенияипроцессы воблакоиоставивнаиболее
конфиденциальнуюинформациюподлокальнымконтролем.Крометого,разделение
данныхпоможеторганизациисоблюстиправовыеположенияозащитеинформации.
Избыточность–ещеоднопреимуществогибридныхоблачныхсред.Можно
перенестиповседневнуюдеятельность впубличноеоблакоисоздаватьрезервные
копиисистемналокальныхсерверах.Такработабудетпродолженадаже вслучае
потерисоединениясоднимизцентровобработкиданныхилиегозаражения
программой-вымогателем.
Меры обеспечения облачной безопасности
1.Изучениемоделисовместнойответственности
2.Знакомствоспоставщикомоблачныхуслуг
3.Управлениеидентификациейидоступомкоблачнымресурсам
4.Обучениеперсонала
5.Формулированиеиустановкаполитикиоблачнойбезопасности
6.Защитаиконтрольпериметраиконечныхточкек
7.Шифрованиеданныхвдвиженииивсостояниипокоя
8.ВнедрениепрактикиDevSecOps(разработка,безопасностьиоперации)
9.Управлениеконфиденциальнымисведениями
10.Управлениерискамиоблаков
11.Проведениеоценкисоответствиятребованиямзаконодательства
12.Разработкаплановнепрерывностиивосстановлениясовместнос
поставщикомоблачныхуслуг
13.Проведениеаудитовитестовнапроникновение(пентестинга)
1.Изучениемоделисовместнойответственности
2.Знакомствоспоставщикомоблачныхуслуг
3.Управлениеидентификациейидоступомкоблачнымресурсам
4.Обучениеперсонала
5.Формулированиеиустановкаполитикиоблачнойбезопасности
6.Защитаиконтрольпериметраиконечныхточкек
7.Шифрованиеданныхвдвиженииивсостояниипокоя
8.ВнедрениепрактикиDevSecOps(разработка,безопасностьиоперации)
9.Управлениеконфиденциальнымисведениями
10.Управлениерискамиоблаков
11.Проведениеоценкисоответствиятребованиямзаконодательства
12.Разработкаплановнепрерывностиивосстановлениясовместнос
поставщикомоблачныхуслуг
13.Проведениеаудитовитестовнапроникновение(пентестинга)
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 1
- Slides 20
- Age 91 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
45 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
48 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
44 views
14
Fertility awareness methods for women in the society
Isaiah47
41 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
43 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
42 views