Икономически университет – Варна                Център „Магистърско обучение“          по Безопасност и защита на тема:  Б...
Безопасност и защита при Cloud Computing                                                            СъдържаниеВъведение .....
Безопасност и защита при Cloud Computing                                    Въведение      В последните години се появява ...
Безопасност и защита при Cloud Computingпоискване, с неограничен мрежов достъп, споделен и наличен ресурс, светкавичнаелас...
Безопасност и защита при Cloud Computing   1. Модели на облачните услуги                       IaaS (Infrastructure as a ...
Безопасност и защита при Cloud Computing   PaaS моделът за доставяне на облачни услуги предоставя възможност напотребителя...
Безопасност и защита при Cloud Computingинфраструктура трябва да бъде съобразена с действащата нормативна уредба ирегулато...
Безопасност и защита при Cloud Computingно при избора на подходящите облачни модели за доставяне и разгръщане част отинфор...
Безопасност и защита при Cloud Computing       Споделяне       Архивиране       Унищожаване      Ключовите предизвикате...
Безопасност и защита при Cloud Computing         съхранявана, ЦОД, физически или виртуален информационен ресурс,         с...
Безопасност и защита при Cloud Computingодобрение. Доставчикът управлява лог файлове, журнални файлове и дебъгингфайлове с...
Безопасност и защита при Cloud Computingоблачната инфраструктурата времето за обновяване на работещо приложение есведено д...
Безопасност и защита при Cloud Computingуслуги в облака, затова е осигурено контролирано разпространение на докладитеот vu...
Безопасност и защита при Cloud Computing6.1. Криптиране на информацията при съхранението й на дисков масивили в база от да...
Безопасност и защита при Cloud ComputingКриптирането на информацията е регулирано по различни начини в различнитедържави. ...
Безопасност и защита при Cloud Computingинфраструктура. Рядко се среща ситуация, в която конвенционалната ИКТинфраструктур...
Безопасност и защита при Cloud Computingинфраструктурата на доставчика са застраховани в полица за електроннооборудване. О...
Безопасност и защита при Cloud Computing       идентификация на служители на доставчика   Когато се ползват SaaS и PaaS м...
Безопасност и защита при Cloud Computingинфраструктурата на всеки доставчик на услуги в облака. Самият процес навиртуализи...
Безопасност и защита при Cloud Computing      За справяне с тези заплахи са необходими различни умения, като някои оттях с...
Безопасност и защита при Cloud Computing       Решение при загуба или изтичането на данни се оказва поддръжката наозначава...
Безопасност и защита при Cloud Computing      Често срещан проблем на сигурността в облака е, че липсва процес наоценка на...
Безопасност и защита при Cloud Computing       Account hijacking       Service hijacking       Измама (най-вече във фин...
Безопасност и защита при Cloud Computingдостъпа и автентикацията, да се използват продукти за защита като : Server TierFir...
Безопасност и защита при Cloud Computing        Факт е, че хардуерът като цяло страда и от сривове във времето, за коитопр...
Безопасност и защита при Cloud Computing                                  Заключение      Защитата и безопасността в cloud...
Безопасност и защита при Cloud Computing                           Терминологичен речникИКТ - Информационни и комуникацион...
Безопасност и защита при Cloud ComputingSpyware (шпионски софтуер) – вид компютърни програми, които тайно, безразрешение и...
Безопасност и защита при Cloud Computing                            Използвана литература:   1. Димитров, Велиян. Облачен ...
Upcoming SlideShare
Loading in …5
×

Security in cloud computing

860 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
860
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Security in cloud computing

  1. 1. Икономически университет – Варна Център „Магистърско обучение“ по Безопасност и защита на тема: Безопасност и защита при Cloud ComputingИзготвил: Проверил:Даниела Димитрова, доц. д-р Стефан Дражевспец. Информатика, курс V х. ас. Видилина Кръстевагр. 59, фак. № 10689 Варна 2013
  2. 2. Безопасност и защита при Cloud Computing СъдържаниеВъведение .................................................................................................................................. 31. Модели на облачните услуги .............................................................................................. 52. Видове облаци .................................................................................................................... 63. Нормативно съответствие и одит ...................................................................................... 74. Управление на жизнения цикъл на информацията ........................................................... 85. Информационна сигурност на приложенията ................................................................. 116. Криптиране и управление на криптографски ключове .................................................... 13 6.1. Криптиране на информацията при съхранението й на дисков масив или в база от данни ..................................................................................................................................... 14 6.2. Криптиране на информация при съхранение на данни върху лентови носители ...... 147. Сигурност на центъра за обработка на данни (ЦОД) ...................................................... 158. Управление на идентичността и контрола на достъпа ................................................... 179. Виртуализация .................................................................................................................. 1810. Заплахи в cloud computing ............................................................................................... 1911. Сигурност в облака от физическа гледна точка ............................................................. 24Заключение .............................................................................................................................. 26Терминологичен речник ........................................................................................................... 27Използвана литература: .......................................................................................................... 29Даниела Димитрова, спец. „Информатика“ Стр. 2 - 29
  3. 3. Безопасност и защита при Cloud Computing Въведение В последните години се появява нов модел на компютърни технологии,наричан “облачни компютърни технологии”, като облакът е метафора затехнологии и услуги, достъпни през Интернет. Изчислителният "облак" всъщност еконцепция от 60-те години на миналия век, но навлиза в IT сферата в последнотодесетилетие на този век. Облакът е възможно най-ефективният начин заизползване на информационните технологии. С изобретяването на новия бизнес-технологичен модел организациитемасово преструктурират своите IT системи от традиционния модел клиент/сървъркъм облачен технологичен модел, при който всичко се предлага като услуга беззначение дали става въпрос за софтуер, хардуер или съхраняване наинформационни масиви. Облачната технология е модел, който прави възможен мрежовия достъп досподелени ресурси като интернет мрежи, сървъри, хранилища за масиви от даннии софтуерни приложения с минимално участие или управление от доставчика науслугата. С навлизането на този технологичен бизнес модел, потребителите могат дадостъпват тежки по отношение на разхода на ресурс приложения дори чрез лекипреносими устройства като мобилни телефони, смартфони, лаптопи и PDAустройства. Облачните технологии преместват изчислителната мощ иинформацията от десктоп компютрите и преносимите устройства в мега мощницентрове за данни, което намалява разходите и формира нов по-гъвкав подход зареализиране на бизнес. В понятието „cloud computing“, т.е. облачни изчисления, облачни технологии,се включва предлагането на компютинга като услуга, а не като продукт. Т.е.приложения, платформи, IT инфраструктура, намиращи се отдалечено от даденаорганизация, но в същото време достъпвани през Интернет. Най-често облачнитеуслуги се асоциират с ползване на външно дисково пространство, процесорна мощи софтуерни приложения, за което се заплаща определена месечна такса.Поддръжката на използваните от компанията ресурси в тази технология не еангажимент на организацията. Т.е. облачната технология е собствена услуга приДаниела Димитрова, спец. „Информатика“ Стр. 3 - 29
  4. 4. Безопасност и защита при Cloud Computingпоискване, с неограничен мрежов достъп, споделен и наличен ресурс, светкавичнаеластичност и заплащане само на използвания ресурс. Облакът изглежда изключително привлекателен за средни и малки бизнеси, тъйкато те много бързо могат да получат инфраструктура, услуга, без да инвестиратзначителни суми в изграждането на тази инфраструктура. Именно затоваоблачните технологии са толкова примамливи и привлекателни. Облакът може да се определи като виртуализирана инфраструктура, която сеизползва максимално. Основните му характеристики са:  Мрежов достъп  Гъвкавост  Измеримост  Самообслужване  Извличане на ресурси Съществуват различни модели на облачните услуги, както и различни видовеоблаци.Даниела Димитрова, спец. „Информатика“ Стр. 4 - 29
  5. 5. Безопасност и защита при Cloud Computing 1. Модели на облачните услуги  IaaS (Infrastructure as a Service) – Инфраструктура като услуга  SaaS (Software as a Service) – Софтуер като услуга  PaaS (Platform as a Service) – Платформа като услуга IaaS дава възможност да се използва компютърна инфраструктура „под наем“.Вместо да си купуват собствени хардуерни сървъри, сървърен софтуер, дисковимасиви за съхранение на данните, мрежово оборудване, техника за аклиматизацияи т.н., компаниите могат да използват всичко това под формата на услуга –аутсорсинг продукт. Подобна услуга обичайно се заплаща на принципа накомуналните услуги – като тока и водата. Цената зависи от обема на ресурсите,които са били консумирани. Иначе казано, цената отразява нивото на активност насамия потребител. Според някои специалисти, това е следващото еволюционнониво след популяризирането на уеб хостинга и виртуалните частни сървъри. Примери: Amazon AWS, RackSpace Cloud, Savis При SaaS модела софтуерът е инсталиран при доставчика и потребителите годостъпват чрез Интернет. Този модел особено много се разпространи с появата наУеб услугите (Web Services) и ориентираната към услуги архитектура (Service-Oriented Architecture - SOA). Разплащането в SaaS, обикновено, е на абонаментенпринцип. Има две разновидности на SaaS. Първият вариант е аналогичен намодела „доставчик на приложни услуги“ (Application Service Provider - ASP), прикойто комерсиално достъпният софтуер е инсталиран при доставчика. При вториявариант на SaaS се използва единствено копие на софтуера, което е инсталиранопри доставчика и е специално разработено за SaaS. Примери: Google App, Microsoft Office Live, YouTube, SalesForce.comДаниела Димитрова, спец. „Информатика“ Стр. 5 - 29
  6. 6. Безопасност и защита при Cloud Computing PaaS моделът за доставяне на облачни услуги предоставя възможност напотребителя да разработва и развива върху облачната инфраструктурапотребителски ориентирани приложения и интерфейси, като ползва програмниезици, библиотеки, поддържащи услуги и специализирани инструменти,осигурявани от доставчика на облачни услуги. PaaS е платформа, върху коятоможе да се разработва софтуер и да се тества. Този модел е предназначеносновно за фирми, които се занимават с писане на софтуер, тестване и системнаадминистрация. Примери: Google App Engine, Microsoft Azure, Facebook F8, Force.com, Heroku. 2. Видове облаци Начините за реализация на облачните технологии се разделят на различнивидове облаци:  Публичен (Public) - Инфраструктурата на облака се предоставя на широката общественост или на голяма отраслова група и е собственост на организацията  Частен (Private) - Инфраструктурата на облака се използва изключително за конкретната организация. Тя може да се управлява от организацията или от трета страна и може да съществува в помещенията или извън помещенията на организацията. Трябва да се отбележи, че „частният облак" разчита като минимум на определени технологии, които са типични и за „публичните облаци" – в това число, по-специално, виртуализационни технологии, които подпомагат реорганизацията на архитектурата за обработка на данните.  Хибриден (Hybrid) - съставен е от два или повече облака (частни, общностни или публични)  Общностен, колективен (Community) - инфраструктурата на облака се споделя от няколко организации и служи за поддържането на специфична общност от потребители, които споделят обща мисия, обща политика, общи изисквания към информационната сигурност и др. Независимо от модела на доставка на облачни технологии или вида на облака,то съществуват заплахи за сигурността на съхраняваната информация и облачнатаДаниела Димитрова, спец. „Информатика“ Стр. 6 - 29
  7. 7. Безопасност и защита при Cloud Computingинфраструктура трябва да бъде съобразена с действащата нормативна уредба ирегулаторни изисквания. 3. Нормативно съответствие и одит В момента силно развиващите се облачни технологии и инфраструктури неподлежат на самостоятелна регулация, което прави ситуацията още по-сложна,защото всички действащи регулации за конвенционална ИКТ1 трябва да бъдаттранслирани към облачната инфраструктура. Отговорът на въпроса дали еднаоблачна инфраструктура е в нормативно съответствие се получава след извършенодит или проверка от независима организация и конкретна регулаторнаинституция. Резултатите от одит или проверка за съответствие са индикаторът,който всеки потребител на облачни решения трябва да търси. Доставчикът трябва да е съобразил управлението и предоставянето насвоите услуги с действащото законодателство на територията на РепубликаБългария. При организации, които имат изключително строги регулаторни и/илизаконодателни изисквания доставчикът има ресурса да осигури допълнителнимеханизми за контрол, както и да преразгледа SLA (Service Level Agreement) идоговори, за да се постигнат бизнес изискванията на организацията. Свързващотозвенo между информацията и приложенията на организацията, и саматаорганизация, е облачната инфраструктура на доставчика, затова той предоставявъзможността самата организация и/или наета от нея трета страна да извършиодит на предоставяната облачна услуга, респективно на ресурсите и активите,които осигуряват тази услуга. Доставчикът има внедрена Система за управление на информационнатасигурност (СУИС), съгласно ISO/IEC27001, което кореспондира с това, че той можеда представя облачни услуги, които управляват критични услуги и чувствителнаинформация. За да се постигне съответствие с регулаторни и/или законодателниизисквания доставчикът съдейства на организацията при преговори с регулаторнияорган, за да се докаже обективно, че ползването на избраната облачна услуга нямада повлияе негативно върху конфиденциалността, целостта и наличността наинформацията, дори напротив ще повиши нивата на сигурност на информацията.Има данни и приложения, които на този етап не могат да „живеят” в облачна среда,1 Информационни и комуникационни технологииДаниела Димитрова, спец. „Информатика“ Стр. 7 - 29
  8. 8. Безопасност и защита при Cloud Computingно при избора на подходящите облачни модели за доставяне и разгръщане част отинформацията и приложенията на организацията могат да бъдат мигрирани къмоблачната инфраструктурата, а чувствителните активи да продължат да опериратна територията на организацията. При SaaS модела за доставяне на услуги воблака, доставчикът поема цялата отговорност зa внедряване и управление намеханизмите за контрол. Това е модел, при който не се налагат сериознирегулаторни и законодателни изисквания към организацията, която ползва облачниуслуги. При PaaS модела за доставяне на услуги в облака, отговорността завнедрените механизми за контрол се разпределя между доставчика и потребителя.Това е модел, при който се налагат регулаторни и законодателни изисквания къморганизацията, като те трябва да бъдат организирани и управлявани двустранно.При IaaS модела за доставяне на услуги в облака, доставчикът поемаотговорността за внедряване и управление на механизми за контрол, свързани сЦентър за обработка на данни (ЦОД), с ниво Tier 4, съгласно TIA-942, мрежовасвързаност, хардуер и хипервайзор. Това е модел, при който се налагат сериознирегулаторни и законодателни изисквания към организацията, като тя самавнедрява и управлява механизмите за контрол, свързани с операционнатасистема, СУБД2, приложенията и данните. Доставчикът на услуги управляванепрекъснат процес за събиране и съхранение на обективни доказателства, коитодоказват наличието на съответствие с регулаторни и/или законодателниизисквания. 4. Управление на жизнения цикъл на информацията Основната цел на информационната сигурност в облачната среда е дазащити данните на абонатите, които се управляват от приложенията иинформационните системи в облачна инфраструктурата. При мигриране къмоблачна среда, традиционните методи за защита на данните се заменят с облачнобазирани решения за гарантиране на сигурността на информацията. Жизнениятцикъл на данните преминава през следните етапи:  Създаване  Съхранение  Ползване2 Система за управление на бази данниДаниела Димитрова, спец. „Информатика“ Стр. 8 - 29
  9. 9. Безопасност и защита при Cloud Computing  Споделяне  Архивиране  Унищожаване Ключовите предизвикателства в управлението на жизнения цикъл наинформацията са:  Сигурност на информацията, при която трябва да се осигурят конфиденциалност, цялостност, наличност, автентификация, автентичност, оторизация  Физическото разполагане на информацията, при което трябва изрично да е споменато къде ще се разположи физически информацията, включително на дисковите системи за съхранение на данни и бекъп (backup) медиите.  Смесване на информация от различни класификационни нива, при което трябва изрично да са внедрени механизми за контрол, които не позволяват информация на различни потребители и различни класификационни нива да бъде смесвана.  Прозрачно резервиране и възстановяване на информацията, при което данните трябва да бъдат резервирани и възстановявани съгласно утвърдени и ефективни схеми.  Разкриване на информация, при което трябва да се внедрят необходимите физически, логически и административни механизми за контрол на информацията, съхранявана и обработвана в облачната инфраструктура да не бъде разкривана без съгласието на нейния собственик.  Доставчикът осигурява целостта и конфиденциалността на информацията и декларира механизмите за контрол, които гарантират невъзможността за компрометиране на целостта и конфиденциалността, като докладват инцидентите на потребителя.  Доставчикът осигурява пълна прозрачност на приетата и изпълнявана политика за сигурност на информацията в облачната си инфраструктура през целия жизнен цикъл на информацията.  Доставчикът отразява в SLA и в договор физическото място и/или местата, върху които може информацията да бъде обработвана иДаниела Димитрова, спец. „Информатика“ Стр. 9 - 29
  10. 10. Безопасност и защита при Cloud Computing съхранявана, ЦОД, физически или виртуален информационен ресурс, система за съхранение на данни, бeкъп медиите и т.н.  Доставчикът е разработва предварително система за обезщетения, ако информацията на потребителя не е налична, нарушена е целостта й или поверителността е компрометирана. Отговорност на абоната е да информира и да отрази в споразумението си сдоставчика на услуги, а в последствие и да актуализира, кой може да има достъпдо информацията, какви са неговите права и привилегии и при какви условияпредните се осигуряват. Абонатът определя схемата за класификация наинформацията и класифицира информацията съгласно утвърдената схема.Доставчикът прилага утвърдената схема за класификация, като избираподходящите механизми за контрол, чрез които управлява и наблюдава достъпа доинформацията на потребителя. Всички детайли са документирани в SLA и вдоговора, като е осигурена възможност за одитиране и контрол. Доставчикът внедрява множество механизми за контрол, които предоставятвъзможността информацията да бъде съхранявана и предавана в криптиран вид.Доставчикът предварително идентифицира и определя периметри на сигурност, вкоито информацията е защитена от неоторизирано разкриване, модифициранеи/или повреда. Доставчикът предоставя услуги в облака, които гарантират логическо илифизическо изолиране на абонатите. След изготвени анализ и оценка на риска,абонатът може сам да определи кой тип отделяне да избере. Доставчикътосигурява архивиране на информацията на абоната в специално организирани заабоната ресурси, без каквато и да било възможност за смесване на архивни даннина други абонати на инфраструктурата. Осигурена е възможност потребителскатаинформация да бъде напълно унищожена след приключване на нейния жизненцикъл. След прекратяване на договорените взаимоотношения, освен ако не едоговорено друго, потребителската информация би трябвало да бъде напълноунищожена от всички медии в облачната инфраструктурата: системи засъхранение на данни – дискови масиви, ленти и т.н. Доставчикът извършвапериодични тестове за възстановяване на информацията от архиви, катопредварително съгласува действията си с абоната, и само след изричноДаниела Димитрова, спец. „Информатика“ Стр. 10 - 29
  11. 11. Безопасност и защита при Cloud Computingодобрение. Доставчикът управлява лог файлове, журнални файлове и дебъгингфайлове с изключително внимание, тъй като в тях може да има чувствителнаинформация. 5. Информационна сигурност на приложенията Приложенията заедно с функциите и процесите, които поддържат, са един отосновните активи в облачната среда, заедно с данните на абонатите. Внедрените воблачната инфраструктура приложения ще бъдат подложени на заплахи, които понищо не се различават от заплахите в конвенционалната ИКТ среда, която сеподдържа от всяка организация. Известно е, че повечето приложения са пуснати вексплоатация с недостатъци и уязвимости, които ако бъдат открити от агент назаплаха могат да бъдат експлоатирани и да причинят вреди за самото приложениеи/или за управляваната чрез него информация на потребителя. Информационнатасигурност на приложенията е отговорност, която се разпределя в различносъотношение между доставчика и абоната, при различните модели на услугите –софтуер, платформа, инфраструктура. При SaaS модела голяма част от отговорността се пада на доставчика. Тойопределя, внедрява и поддържа механизмите за контрол и осигурявавъзможността да се проверява тяхната ефективност. При PaaS модела отговорността е споделена, като доставчикът предлаганабор от механизми, които могат да бъдат внедрени от абоната. При IaaS модела отговорността за сигурността на приложенията е наабоната. Той сам определя какви механизми за контрол ще бъдат внедрени и какще ги управлява и наблюдава. Доставчикът се стреми да внедрява в своята облачна инфраструктураприложения, които са разработени и изпитани от водещи доставчици на софтуернирешения. Всички приложения, поддържани в облачната инфраструктура надоставчика, са периодично подлагани на тестове за уязвимости (vul tests).Тестовете предоставят обратна връзка за нивото на сигурност, което е постигнатои възможните уязвими места във функциониращите приложения. Когатопроизводителят на приложението открие уязвимост в своите продукти предоставяофициален пач, който се изпитва в тестова облачна среда и при успешноприключил тест се интегрира в оперативната облачна инфраструктура. ВДаниела Димитрова, спец. „Информатика“ Стр. 11 - 29
  12. 12. Безопасност и защита при Cloud Computingоблачната инфраструктурата времето за обновяване на работещо приложение есведено до текущия работен ден. Когато доставчикът разработва собствениприложения ползва конкретен SDLC (Software Development Life Cycle) модел завсяко приложение, което внедрява в своята облачна инфраструктура. В етапите наSDLC се проектират всички механизми за контрол и сигурността на приложението.В конвенционалните IT решения, голяма част от механизмите за информационнасигурност не се залагат в архитектурата на приложението, а се разчита наразлични алтернативни решения. Съвременните облачни приложения трябва дабъдат налични от всяко едно географско място, от всяко възможно устройство и повсяко едно време, така че те са изложени на абсолютно всички възможни заплахии е задължително да бъдат гарантирани с най-високо ниво на информационнасигурност. Препоръчително е внедряване на допълнителни механизми вприложенията за контрол относно валидацията и верификацията, за да санадеждни предлаганите от доставчика услуги в облака. Всички приложения, в облачната инфраструктура, са логически илифизически изолирани едно от друго, по този начин доставчикът гарантира, чеинформацията управлявана от едно приложение не може да се смеси синформация от друго приложение. Вътрешният обмен на информация (интер-хостовите връзки, независимо дали са върху едно и също хардуерно устройство,между устройства в един ЦОД или между устройства в два ЦОД-а) е стриктноконтролиран в облачната инфраструктура. Същият процес при стандартните ИКТинфраструктури е силно подценяван. Идентификацията и автентификацията са изключително важни при работатас облачни приложения. Възможно е използването на двуфакторна автентификациячрез смарт карти, които отключват достъпа до тях само след коректно въвежданена ПИН. Доставчикът разрешава на всеки потребител да извършва отдалечени vulтестове и оценка на уязвимостта на приложенията си, но след изричнодопълнително споразумение или предварително регламентиране в SLA и вдоговор. Организациите се доверяват на доставчика при наличие на обективнидоказателства за високо ниво на информационната сигурност в управляванитеДаниела Димитрова, спец. „Информатика“ Стр. 12 - 29
  13. 13. Безопасност и защита при Cloud Computingуслуги в облака, затова е осигурено контролирано разпространение на докладитеот vul тестовете. 6. Криптиране и управление на криптографски ключове Днес криптирането на информацията е от изключително значение, както вконвенционалната ИКТ, така и в облачната инфраструктура. Надежднотокриптиране на данни заедно с управлението на идентичността и контрола надостъп са ключовите механизми за контрол, които предпазват чувствителнатаинформация от повреда, неоторизирана модификация, неоторизирано ползванеи/или кражба. Абонатите на услуги в облака имат опасения, че върху техните даннимогат да въздействат: служителите, които управляват облачнатаинфраструктурата, злонамерени лица извън доставчика на облака (пример хакери,наети атакуващи и др.) или други абонати на multitenant инфраструктурата. Взависимост от модела на консумация, абонатът може да избере дали криптиранетона данни и управлението на криптографските ключове да бъде отговорност надоставчика и/или на абоната. Доставчикът интегрира със своите услуги необходимите механизми закриптиране и декриптиране на информацията, като се осигуряват следнитевъзможности:  Криптиране на информацията при предвижването й от и към облачната инфраструктура  Доставчикът осигурява криптирани сесии (SSL/TLS), тунели (SSL/IPSec) и защитени обвивки (SSH) за комуникиране на информацията през Интернет мрежата. Всяка транзакция, която пренася многократно ползвана (multi-use)чувствителна информация (номера на кредитни/дебитни карти, пароли, фрази исиметрични ключове), задължително се криптира. Важно е да се отбележи, чеинформацията е криптирана не само до входно-изходната точка наинфраструктурата, а и в самата облачна инфраструктура. Началото накриптираната връзка е информационната система на абоната, а края еприложението - в облачната инфраструктура.Даниела Димитрова, спец. „Информатика“ Стр. 13 - 29
  14. 14. Безопасност и защита при Cloud Computing6.1. Криптиране на информацията при съхранението й на дисков масивили в база от данни Чрез криптиране на информацията върху дисковия масив, доставчикътпредпазва данните от злонамерени действия или човешка грешка от страна наслужители на доставчика и от недобронамерени действия от страна на друг абонатна облачната инфраструктура. Доставчикът предоставя възможността на абонатаинформацията да бъде криптирана още в информационната система на абоната ислед това да бъде комуникирана и съхранена в облачната инфраструктурата върхудисков масив в криптиран вид. По този начин потребителят управлявасамостоятелно процеса на криптиране и декриптиране на информацията върхусобствената си ИКТ инфраструктура.6.2. Криптиране на информация при съхранение на данни върхулентови носители Криптирането на данни ще предотврати неоторизирания достъп доинформацията, ако бекъп медията бъде случайно загубена или открадната.Доставчикът извършва криптирането на информацията на потребителя върхулентовите носители прозрачно. Криптирането на информацията при IaaS e изцяло под контрола напотребителя, той може да избере собствени инструменти за криптиране илипредложените му от доставчика. При PaaS потребителят задължително ползваинструментариума за криптиране, предоставен от доставчика, като може даразчита на специфични потребителски настройки, които задължително трябва дабъдат предварително договорени. При SaaS потребителят разчита изцяло на предварително заложените вдизайна на приложението криптографски механизми за контрол. Когато абонатътползва избрани от него инструменти за криптиране и управлението на процеса икриптографските ключове са при него, доставчикът не носи отговорност за данни,които не могат да бъдат декриптирани. Доставчикът има отговорност чувствителната информация да не се предаваи съхранява в явен вид в неговата инфраструктура при SaaS модела, а при PaaSмодела - отговорността е поделена между доставчика и абоната. Когато сеизползва IaaS среда, отговорността е изцяло на ИТ персонала на абоната.Даниела Димитрова, спец. „Информатика“ Стр. 14 - 29
  15. 15. Безопасност и защита при Cloud ComputingКриптирането на информацията е регулирано по различни начини в различнитедържави. За да се избегнат различни тълкования, доставчикът регламентира в SLAи договора алгоритмите за криптиране, ползваните криптосистеми и управлениетона криптографските ключове. Криптирането на информацията във всяка една ИКТи облачна инфраструктура има смисъл, само ако управлението на криптографскитеключове се реализира сигурно и надеждно. В повечето ИКТ инфраструктури не се отделя сериозно внимание науправлението на криптографските ключове, което включва задължително:  Генериране  Разпространение  Подновяване и прекратяване на жизнения цикъл за всеки ключ Доставчикът трябва да внедри специализиран софтуер за управление нажизнения цикъл на всички криптографски ключове и следи утвърдена процедурасъгласно интегрираната СУИС. Доставчикът е акцентирал върху:  Специално обособени сигурни хранилища за ключовете  Контролиран достъп до хранилищата, респективно ключовете  Надеждно архивиране на ключовете и при нужда възстановяване  Управляван жизнен цикъл за всяка група ключове За да се постигне високо ниво на изолация и диференциране, доставчикътползва различни дискови и лентови ресурси за съхранение на криптографскитеключове, които са различни от дисковите и лентовите ресурси за съхранение наданните на абоната. Доставчикът предоставя уникален/уникални криптографскиключ/ключове за всеки потребител при избор на multitenant инфраструктура, наниво сторидж, бекъп медия, хипервайзор, операционна система, база данни иприложение. Доставчикът управлява процесите на жизнен цикъл на паролите икриптографските ключове, необходими за всяко приложение. 7. Сигурност на центъра за обработка на данни (ЦОД) ЦОД, заедно с технологиите за виртуализация и в частност мрежовитекомуникации са основните елементи на една облачна инфраструктура. ЦОД емястото, където се разполагат всички хардуерни активи, върху които функциониратуправляваните услуги в облака. Чрез ЦОД се осигурява физическата сигурност и сегарантира сигурността на обкръжението за хардуерните активи на облачнатаДаниела Димитрова, спец. „Информатика“ Стр. 15 - 29
  16. 16. Безопасност и защита при Cloud Computingинфраструктура. Рядко се среща ситуация, в която конвенционалната ИКТинфраструктура на една организация да се доближава до нивата на сигурност инадеждност, които се осигуряват в модерния ЦОД, който е оптимизиран замодерните информационни системи. Подценяването на сигурността наобкръжението води до загуба на ресурси. С помощта на ЦОД, поддържанатаоблачна инфраструктура и избраните технологии на лидери в своята област, катоIBM, Microsoft, VMWare, Citrix, Cisco, Juniper, Symantec - доставчикът може даосигури основните характеристики на услугите в облака:  Самообслужване  Широколентов достъп  Еластичност  Пул от ресурси (вкл. Multitenancy)  Показатели за оразмеряване на услугите За да има резервираност и балансиране на ресурсите, доставчикът най-често разпределя активите от своята инфраструктура в система от няколкоцентъра за обработка на данни. Всеки ЦОД е модерно съоръжение, оптимизираноза нуждите на доставчиците на услуги в облака и отговарящо на изискванията заTier 4, съгласно стандарта TIA-942. Всички съоръжения в ЦОД са 100% резервирани по схемата (N+1) ифизически отделени едно от друго. ЦОД разполага с двойно резервирана системаза електрическо захранване, резервирано охлаждане, пожарогасене ипожароизвестяване. Много центрове за обработка на данни разполагат със самостоятелнавъоръжена физическа охрана, която допуска само предварително оторизирани иидентифицирани посетители на съоръжението. На територията на всеки ЦОД сереализира и система за контрол на достъпа с RFID идентификация3, която еконфигурирана съгласно установените физически периметри за сигурност. Доставчикът осигурява възможност на всеки потребител да извършисамостоятелен одит или да инициира одит от трета страна на съоръженията, коитоподдържат ЦОД: HVAC4, пожароизвестяване, пожарогасене, захранване,видеонаблюдение, физическа охрана и т.н. Всички съоръжения и ресурси от3 Радиочестотна идентификация4 heating, ventilation and air conditioning - Отопление, вентилация, климатизацияДаниела Димитрова, спец. „Информатика“ Стр. 16 - 29
  17. 17. Безопасност и защита при Cloud Computingинфраструктурата на доставчика са застраховани в полица за електроннооборудване. Облачната инфраструктура, разположена в ЦОД, е в обхвата наСУИС5 на доставчика. Доставчикът е приел политика непрекъснато да наблюдава, подобрява итехнологично да обновява обкръжението и инфраструктурата в центъра заобработка на данни, като всички параметри на обкръжението и активите,функциониращи в него, са класифицирани и се следят техните стойности.Специализирана мониторинг система следи за стойностите на ресурсите иуведомява дежурния служител по поддръжката, при наличие на сигнали завъзможен предстоящ инцидент. 8. Управление на идентичността и контрола на достъпа Управлението на идентичността и контрола на достъп за съвременнитесложни приложения е един от сериозните проблеми в информационната сигурност.В конвенционалната ИКТ не се обръща особено внимание на управлението наидентичността, защото не е налице multitenancy6 свойството. Съвременнитеоблачни инфраструктури са немислими без стриктен процес за управление наидентичността и контрола на достъп (Identity and Access Management - IAM).Динамиката при IAM в облачната среда се свежда до:  Осигуряване/премахване на идентичност  Автентификация  Федерация  Оторизация  Управление на потребителския профил Миграцията на потребителските профили от конвенционалната ИКТинфраструктура към облачна инфраструктурата повишива нивото на сигурностотносно идентификацията и контрола на достъп. Процесът на идентификацияобхваща приложения и процеси. Целта е да има обща идентификация заподдържаната облачна инфраструктура и услугите в нея. Доставчикът обособявадве направление:  идентификация на служители на абоната5 Система за управление на информационната сигурност6 технология за споделяне на ИТ ресурси сигурно сред множество приложения и наематели(предприятия, организации и др.), които използват облака.Даниела Димитрова, спец. „Информатика“ Стр. 17 - 29
  18. 18. Безопасност и защита при Cloud Computing  идентификация на служители на доставчика Когато се ползват SaaS и PaaS моделите, автентификацията на корпоративнитепотребители е възможна през техния Identity Provider (IdP) и установяване надоверие чрез федерация. Автентификацията за индивидуални потребители евъзможна чрез ориентираната към крайни потребители (user-centric)автентификация на Google, Yahoo и т.н. Когато се ползва IaaS моделът сеустановява самостоятелна VPN свързаност, за да се осигури достъп доинформационните системи. Доставчикът предлага набор от различни технологии за надежднаавтентификация:  One-Time Passwords – еднократни пароли  Биометрични данни  Tokens  Смарткарти  Цифрови сертификати  Kerberos 9. Виртуализация Виртуализацията е основният елемент от една инфраструктура, коятопозволява по сигурен начин тя да бъде споделена между множество потребители(multitenant). Голям брой организации избират софтуер за виртуализиране, койтоинсталират и конфигурират в своята ИКТ инфраструктура, с което подлагатприложенията и данните си на голям риск от загуба и/или невъзможност да бъдедостъпвана за определен период от време. Виртуализирането на сървърни и десктоп операционни системи е леснореализуем процес, но осигуряването, изолирането и резервирането на всякавиртуална информационна система е изключително сложен и непрекъснат процес,който изисква допълнителни софтуерни продукти, квалифициран персонал исигурна платформа за наблюдение и управление на всички виртуални ресурси.Всеки доставчик на услуги в облака избира хипервайзорите, с които ще осигурявавиртуалните ресурси за нуждите на своите потребители. Съвременните заплахи санасочени изцяло към хипервайзорите и техните компоненти за управление,защото, ако те успеят да третират уязвимо място, ще имат пълен контрол върхуДаниела Димитрова, спец. „Информатика“ Стр. 18 - 29
  19. 19. Безопасност и защита при Cloud Computingинфраструктурата на всеки доставчик на услуги в облака. Самият процес навиртуализиране увеличава нуждата от по-голяма мрежова сигурност в интер-хосткомуникациите, защото виртуалните информационни системи обменят данни презхардуерния заден панел, а не през LAN. Доставчикът трябва да е внедрилмеханизми за контрол, които предоставят детайлен контрол на комуникациитемежду виртуалните машини. Препоръчително е елиминиране на нуждата ототделни хардуерни устройства и обособени VLAN, за да се отделят различни групис конкретно ниво на информационна сигурност. Би трябвало да е оптимизиранонатоварването на хардуерните ресурси, като в същото време да е гарантирановисоко ниво на информационната сигурност. Доставчикът трябва да осигурявазащитна стена и site-to-site VPN. Добре е да е налице ефективно управление натрафика между виртуалните информационни системи чрез виртуално устройствоза разпределяне на натоварването. Доставчикът трябва да защитававиртуализираните приложения срещу вътрешни мрежово базирани заплахи (DoS,DDoS) и да намалява риска от нарушаване на политиката по информационнасигурност в периметрите на облачната инфраструктура. Доставчикът на облачниуслуги трябва да контролира целостта на всеки имидж на виртуалнаинформационна система, който е създаден в облачната инфраструктурата.Административният достъп до виртуалните информационни системи обикновено екомбиниран със силна автентификация и управлението на идентичността, както и синструменти, които следят целостта. За постигане на ефикасност, се обособяватразлични зони за съхранение на данни и за десктоп виртуалните информационнисистеми/сървърните виртуални информационни системи. 10. Заплахи в cloud computing Пред клауд технологиите стоят редица заплахи като:  Излагането на конфиденциална информация пред неоторизиран достъп  Изтичане на информация  Загуба на информация  Уязвимост към кибер атаки  Прекъсване на операцииДаниела Димитрова, спец. „Информатика“ Стр. 19 - 29
  20. 20. Безопасност и защита при Cloud Computing За справяне с тези заплахи са необходими различни умения, като някои оттях са:  Детайлно разбиране на клауд компютинга  Много добро техническо познание  Познаване на нови протоколи, технологии и други Основни функционални предизвикателства за сигурността се оказватмножеството потребителски имена и пароли, липсата на прозрачност(потребителят не знае къде се намират сървърите, какво представляваинфраструктурата и къде е разположена, както и кой има достъп до нея), ръчнотопровизиране на акаунти, неоторизираният достъп до данни, споделянето надоверието. От друга страна основни рискове за сигурността са несигурни приложения,DoS атаки, “man in the middle“ атаките и т.нар. code injection. В клауда е налице споделено наемане на ресурси, което води до:  Атаки срещу виртуалните машини  Изпълнение на зловреден код  Смесване на данни за клиенти Разкриването на поверителна информация (увреждане на поверителносттаи тайната на данни (вкл. и лични данни)), съхранявана от облачния доставчик,може да се окаже пагубна за дадена организация. Възможна е крайна загуба на данни или невъзможност организационниданни да бъдат достъпвани. Голям проблем се оказва заплахата от вътрешни заоблака хора. Често те се пораждат от неадекватни практики за сигурност от странана облачния доставчик. Грубоватият контрол на достъпа от страна на клауддоставчика увеличава и броя на откраднатите акаунти. За да бъдат решени тези проблеми, трябва да се приложат механизми законтрол на работата с външни страни, за одитиране, проверка и съответствие, зауправление на идентичности, за контрол на достъпа, управление на инциденти,защита от зловреден и мобилен код, както и за защита на данните. Подходящи продукти за това са: Novell Cloud Security Services, CA ArcotWebfort, CyberArk Software Privileged Identity Manager, Symlified и много други.Даниела Димитрова, спец. „Информатика“ Стр. 20 - 29
  21. 21. Безопасност и защита при Cloud Computing Решение при загуба или изтичането на данни се оказва поддръжката наозначаване и класифициране на информацията, идентификация на чувствителниданни, контекстното сканиране на текст за наличие на конфиденциални данни.Продуктите, които могат да бъдат полезни в този случай са: Blue Coat, Imperva,Symantec, Zscaler, Websense. Zscaler предлага пълни решения в облака поотношение на сигурността и е добре позициониран в България. Разглеждайки уеб сигурността в облака, се оказва, че заплахи за нея са:„кeylogger“-и, malware, spyware, спам, вируси, фишинг, загубата на данни, botмрежи. Има решения и за тези проблеми, които включват уеб филтриране,програми за анализиране и блокиране на Malware, Spyware и bot Network, Phishingsite blocker, програми, сканиращи Instant Messaging, предоставящи E-mail защита,предотвратяващи загуба на данни и измами през уеб, контролиращи достъпа доуеб. Производители на софтуер, работещ и развиващ се в тази насока са: Blue Coat,Trend Micro, Zscaler , WebSense. Конкретно за E-mail сигурността често срещаните заплахи са: malware, спам,фишинг, spyware, address spoofing и Intrusion. Мерките, които могат да се вземат за увеличаване на сигурността са:  Акуратно филтриране на спам и фишинг  Дълбока защита срещу вируси и spyware, преди те да навлязат в периметъра на организацията  Гъвкави политики за дефиниране на mail поток и криптиране  Богато, интерактивно и относително в реално време изготвяне на доклади  Дълбоко сканиране на съдържанието за прилагане на политики  Опция за криптиране на някои или на всички имейли, базирано на политики  Интеграция с различни решения за mail сървъри В тези случаи на помощ на организациите и потребителите, ползващи клаудуслуги, се отзовават Barracude с продукта си Barracude Networks, Symantec съсSymantec Cloud, Zscaler със Zscaler Email Security, Google с Postini, Microsoft сWe`re all in (Microsoft Cloud Services).Даниела Димитрова, спец. „Информатика“ Стр. 21 - 29
  22. 22. Безопасност и защита при Cloud Computing Често срещан проблем на сигурността в облака е, че липсва процес наоценка на текущото ѝ състояние. Т.е. не се търсят проблемите, съответно не сепредприемат мерки за тяхното решение. Проблемите при оценяването насигурността са липса на непрекъснат мониторинг, неточен инвентар, невъзможностда се докаже съответствието с фирмените изисквания, наличие на несигурнипроцеси, липса на корелация на информацията, незащитени, податливи на атакаконфигурации, незащитени архитектури. Възможните решения на тези проблеми са:  Създаване на политики за сигурност  Управление на риска  Тестване на възможностите за проникване  Автоматизиран „auditing“ на конкретни приложения  Оценка на уязвимостта  Intrusion detection - Откриване на прониквания  Patch мениджмънт  Intrusion prevention – предотвратяване на прониквания  Защита от Malware Известни на софтуерния пазар продукти за защита са: Modulo, Agiliance, CoreSecurity, Veracode – сканира кода за уязвимости, WhiteHat, Qualys, Metasploit - заоценка на уязвимостта – open source Проблемите, срещани при Intrusion мениджмънт са Intrusion и Malware.Съответно какво може да се направи, за да бъдат предотвратени или преодоляни:  Да се идентифицират нарушенията  Както автоматично, така и ръчно да се преодоляват проблемите  Да се обръща внимание на ъпдейти, адресиращи нови уязвимости  Да се използва VM Image Repository Monitoring, както и Integrity Monitoring VMM/Hypervisor Продукти, предлагащи тези решения, са: Cymtec, Sourcefire – 3D System, TrendMicro Deep Security, XO Enterprise Cloud Security Съществуват проблеми и за информацията за сигурността и управлението насъбития (Security information & Event Management). Тези проблеми са:  Споделените технологии  Вътрешна заплаха (например служител на организацията)Даниела Димитрова, спец. „Информатика“ Стр. 22 - 29
  23. 23. Безопасност и защита при Cloud Computing  Account hijacking  Service hijacking  Измама (най-вече във финансовия сектор)  Загуба на информация  Изтичане на информация  Несигурни интерфейси и приложения Решенията са:  Създаване на логове в реално време (събиране, нормализиране, агрегиране на събития (events) и визуализиране в реално време)  Нормализиране на логовете  Корелация на събития в реално време (Real-time event correlation)  Откриване на E-mail аномалии Известни продукти, извършващи това, са: AccelOps, Loglogic, Q1 Labs, Splunk. Възможно е в облака да възникнат проблеми и с криптирането на данните.Наблюдават се:  Улавяне на некриптиран мрежов трафик  Смекчаване на вътрешната и външната заплаха на данни  Невъзможност да се изпълнят регулаторните изисквания за съгласуваност Решенията в тези случаи са:  Защита на данните  Message Authentication Integrity  Message Data Integrity  Identity validation (сертификати)  Електронни подписи  Hashing на лог файлове  Унищожаване на данни  Генериране и управление на ключове и сертификати Подходящи продукти предлагащи тези възможности са: Cipher cloud,Credant, ProtectV (на SafeNet), Vormetric. Проблеми в клауд компютинга възникват и в мрежовата сигурност, които сеизразяват в заплахи на данните, заплахи на контрола на достъпа, уязвимост наприложенията, кибер война. Поради тези заплахи е добре да се контролираДаниела Димитрова, спец. „Информатика“ Стр. 23 - 29
  24. 24. Безопасност и защита при Cloud Computingдостъпа и автентикацията, да се използват продукти за защита като : Server TierFirewall, File Integrity Monitoring, Anti-virus, Anti-spam; да се извършва мониторинг намрежовия трафик, да съществува интеграция със слоя на хипервайзора; да имазащита от DoS; да се използва Security Gateway (firewalls, WAF, SOA/API, VPN); дасе имплементира DNSSEC (DNS Security Extensions ) CloudFlare, Imperva – Incapsula и Stonesoft са софтуер, подходящ за тезицели. До тук беше разгледана сигурността на софтуера. Физическата сигурност наоборудването, съхраняващо потребителските данни в облака, е толкова важна,колкото и сигурността на софтуера. 11. Сигурност в облака от физическа гледна точка Често срещана практика е всички сървъри на организацията, предлагащаоблачни услуги, да се съхраняват в отделни осигурени зони в рамките на центъраза данни, достъпни само за упълномощени служители. Всеки център за даннисъщо така използва и последни поколения противопожарни, водни и електрическисистеми, осигуряващи физическата сигурност и непрестанна работа на сървърите. Препоръчително е захранващото окабеляване да е положено под повдигнатантистатичен компютърен под. Окабеляването, свързано с данните, да e положенов подтаванни клетки. Цялостното окабеляване e под надзор за гарантиране накачество и предотвратяване на аварийно прекъсване в клауд услугите. Микроклиматът на зоната за данни се контролира стриктно, за да се осигуринадеждност и функционалност. Надеждното захранване е един от ключовите компоненти за доставчик наистински високодостъпен клауд. В случай на срив в захранването, центърът заданни би трябвало да разполага и с:  Дублиращи се захранвания с двойна UPS защита.  Дизелов генератор, предоставящ пълно захранване за пресметнат срив от 24 часа.  Двойни аварийни UPS 230V AC. Всички захранващи системи е добре да се наблюдават чрез уникалнамониторингова система.Даниела Димитрова, спец. „Информатика“ Стр. 24 - 29
  25. 25. Безопасност и защита при Cloud Computing Факт е, че хардуерът като цяло страда и от сривове във времето, за коитопричина е срив в захранването на сървърите. За да се предотврати ресурсназагуба или загуба на данни, изключително необходимо е да се осигури колкото семоже по-значимо кризисно осигуряване, елиминирайки и единична възможност засрив. Сървърите трябва да притежават и функционално дублиращи се мрежовикарти. Така срив в една от мрежовите карти няма да засегне наличността на тозисървър. Добре е сървърите да притежават IPMI карти, позволяващи на инженеритеда наблюдават постоянно всеки сървър във всяка композиция. В допълнение, вмалко вероятен случай на хардуерен срив или софтуерно „забиване“, служителитеса информирани автоматично по е-мейл и SMS. Всички суичове и рутери в рамките на клауда трябва да са обезпечени. Сривв даден суич/рутер не трябва да засяга функционалността на който и да екомпонент в рамките на клауда. Би трябвало да е налице и обезпечена IP свързаност. Препоръчително е клаудът да използва оптични мрежи за създаване нависокоскоростни връзки, както и за минимизиране на мрежовите закъснения имаксимизиране на функционалността. Освен това, преди да внедри една или друга облачна услуга, организациятатрябва да бъде в състояние да оцени нейната безопасност. Голяма част отоблачните услуги в значителна степен са непрозрачни, което прави труднаоценката на тяхната степен за безопасност и анализа за съблюдаване нарисковете. Отсъствието на прозрачност е свързано с това, че често услугата еизградена чрез интеграция на решения от множество провайдери във връзка сизползване на относително нови технологии, както и географски разпределеницентрове за данни.Даниела Димитрова, спец. „Информатика“ Стр. 25 - 29
  26. 26. Безопасност и защита при Cloud Computing Заключение Защитата и безопасността в cloud computing е комплексна задача, изискващамного усилия и компетентност в облачните технологии. Основната цел есигурността на данните, която включва тяхната достъпност, достоверност иповерителност. Защитата на данните, обаче, не се ограничава само до сигурносттана данните, а включва и прозрачност, изолация, възможност за интервенция ипреносимост, които са в подкрепа на правата на лицата за защита на технитеданни. Съществуват твърдения, според които клауд услугите не са запредпочитане, поради не голямата им сигурност. Това обаче не важи в днешнидни, защото модерните центрове за данни разполагат с различни инструменти зафизическа защита, в това число достъп с пръстови отпечатъци, камери завидеонаблюдение и други. Инвестицията в средства за защита еправопропорционална на стойността на онова, което трябва да се пази. Порадитази причина е напълно логично един център за данни да е по-добре защитен отедна средна или малка компания. Гаранцията, че информацията на организацията няма да бъде използвананеправомерно, се поема от наличието на различни стандарти за информационнасигурност. На IT пазара съществуват и редица софтуерни продукти, които сасъздадени именно за по-голяма защита на клауд компютинга.Даниела Димитрова, спец. „Информатика“ Стр. 26 - 29
  27. 27. Безопасност и защита при Cloud Computing Терминологичен речникИКТ - Информационни и комуникационни технологииAccount hijacking – присвояване на чужд акаунтBot network - мрежа от компютри, съдържащи троянски коне или друг зловреденкод, които работят заедно, за да изпълняват задачите, които са възложени отсъздателя на мрежата или контролераCode injection - вмъкване на нежелан кодDoS (Denial of Service) атака - означава отказ на услуги и има за цел да спредостъпа до определена част от сайт или самия сайт ,а също така и големикомпютърни мрежиInstant Messaging (букв. софтуер за мигновени/незабавни съобщения) – чатпрограми; системи за размяна на текстови съобщения между подател и получател.Man in the middle атака – мрежова атака, реализирана чрез активно подслушване;работи чрез установени връзки между устройствата на потребителите ипрепредаващите се съобщения между тях. В случай като този жертвата вярва, чекомуникира директно с друг потребител, а всъщност комуникационният поток дохоста се пренасочва.Malware - Malware са част от така наречените „злонамерени програми“, чиято цел епридобиване на неоторизиран достъп до вашия компютър, кражба на ценнаинформация, увреждане на вашия компютър и много други.Patch – софтуерен пакет, чието предназначение е да разреши един или повечепроблеми, които възникват масово върху големи групи машини. Препоръчително епачовете да се инсталират веднага след тяхното появяване, особено тези, които сасъс статус “сигурност“ или „критичен“.Patch Management – управление на пачовеPhishing - Phishing” e техника за измама по интернет, която представляваизпращане на имейл съобщения на случаен принцип. Съобщенията обикновенопретендират, че са изпратени от автентични компании (банки, търговски фирми,кредитни компании и др.), функциониращи в интернет пространството. Целта им еда примамят клиентите на тези компании да разкрият информация на управляванот измамници фалшив уеб сайт.Даниела Димитрова, спец. „Информатика“ Стр. 27 - 29
  28. 28. Безопасност и защита при Cloud ComputingSpyware (шпионски софтуер) – вид компютърни програми, които тайно, безразрешение или знание на потребителя, събират информация за него или неговиякомпютър и я изпращат на автора на spyware.Даниела Димитрова, спец. „Информатика“ Стр. 28 - 29
  29. 29. Безопасност и защита при Cloud Computing Използвана литература: 1. Димитров, Велиян. Облачен компютинг - метаморфози на периметровата сигурност, CIO 12/2012 и CIO 1/2013 2. CSA. Security Guidance for critical areas of focus of cloud computing v.3.0, 2011. 3. CSA, The Notorious Nine Cloud Computing Top Threats in 2013, February 2013. 4. Димитров, Людмил. Сигурност на облака – 2011, stonedoit 5. Mather, Tim, Kumarasaswamy, Subra, Latif, Shahed. Cloud Security and Privacy – An enterprise perspective on risks and compliance, O`Reilly. 6. McGrath, Michael P.. Understanding PaaS, O`Reilly, 2012. 7. http://newhorizons.bg/blog/Даниела Димитрова, спец. „Информатика“ Стр. 29 - 29

×