አንድ ቀን የደመና አገልግሎት ጥያቄ ደረሰን። በአጠቃላይ ከእኛ ምን እንደሚፈለግ ገለጽን እና ዝርዝሩን ለማብራራት የጥያቄዎችን ዝርዝር መልሰን ልከናል። ከዚያም መልሶቹን ተንትነን ተገነዘብን: ደንበኛው የሁለተኛውን የደህንነት ደረጃ የግል ውሂብ በደመና ውስጥ ማስቀመጥ ይፈልጋል. ለእሱ መልስ እንሰጣለን፡- “ሁለተኛ ደረጃ የግል መረጃ አለህ፣ ይቅርታ፣ እኛ የግል ደመና መፍጠር የምንችለው። እና እሱ: "ታውቃለህ ነገር ግን በኩባንያው X ውስጥ ሁሉንም ነገር በይፋ መለጠፍ ይችላሉ."
ፎቶ በ ስቲቭ ክሪስፕ, ሮይተርስ
እንግዳ ነገሮች! እኛ ኩባንያ X ያለውን ድረ-ገጽ ላይ ሄደው, ያላቸውን የምስክር ወረቀት ሰነዶች አጥንተናል, ጭንቅላታችንን አናወጠ እና ተገነዘብኩ: የግል ውሂብ አቀማመጥ ውስጥ ክፍት ጥያቄዎች ብዙ አሉ እና በደንብ መፍትሔ መሆን አለበት. በዚህ ጽሑፍ ውስጥ የምናደርገው ይህንኑ ነው።
ሁሉም ነገር እንዴት መሥራት እንዳለበት
በመጀመሪያ, የግል ውሂብን እንደ አንድ ወይም ሌላ የደህንነት ደረጃ ለመመደብ ምን ዓይነት መመዘኛዎች ጥቅም ላይ እንደሚውሉ እንወቅ. ይህ በመረጃው ምድብ ፣ ኦፕሬተሩ በሚያከማቸው እና በሚያስኬዳቸው የዚህ መረጃ ርዕሰ ጉዳዮች ብዛት ፣ እንዲሁም አሁን ባለው ስጋት ዓይነት ላይ የተመሠረተ ነው።
የአሁኖቹ አስጊ ዓይነቶች በ ውስጥ ተገልጸዋል። እ.ኤ.አ. ኖቬምበር 1 ቀን 2012 "በግል መረጃ መረጃ ስርዓቶች ውስጥ በሚሰሩበት ጊዜ የግል መረጃን ለመጠበቅ መስፈርቶች ሲፀድቁ"
“ዓይነት 1 ማስፈራሪያዎች ከመረጃ ስርዓት ጋር ከተያያዙ ይጠቅማሉ ጋር የተያያዙ ወቅታዊ ስጋቶች ያልተመዘገቡ (ያልተገለጹ) ችሎታዎች ባሉበት በስርዓት ሶፍትዌር ውስጥበመረጃ ስርዓት ውስጥ ጥቅም ላይ ይውላል.
የ 2 ኛ ዓይነት ማስፈራሪያዎች ለእሱ ከሆነ ለመረጃ ስርዓት ጠቃሚ ናቸው ፣ ጨምሮ ጋር የተያያዙ ወቅታዊ ስጋቶች ያልተመዘገቡ (ያልተገለጹ) ችሎታዎች ባሉበት በመተግበሪያ ሶፍትዌር ውስጥበመረጃ ስርዓት ውስጥ ጥቅም ላይ ይውላል.
የ 3 ኛ ዓይነት ማስፈራሪያዎች ለእሱ ከሆነ ለመረጃ ስርዓት ጠቃሚ ናቸው ተዛማጅነት የሌላቸው ማስፈራሪያዎች ያልተመዘገቡ (ያልተገለጹ) ችሎታዎች ባሉበት በስርዓት እና በመተግበሪያ ሶፍትዌርበመረጃ ስርዓት ውስጥ ጥቅም ላይ ይውላል."
በእነዚህ ትርጓሜዎች ውስጥ ዋናው ነገር ሰነድ የሌላቸው (ያልተገለጹ) ችሎታዎች መኖራቸው ነው. ሰነድ የሌላቸው የሶፍትዌር ችሎታዎች አለመኖራቸውን ለማረጋገጥ (በደመና ውስጥ, ይህ ሃይፐርቫይዘር ነው), የምስክር ወረቀት በሩሲያ FSTEC ይከናወናል. የፒዲ ኦፕሬተር በሶፍትዌሩ ውስጥ እንደዚህ ያሉ ችሎታዎች እንደሌሉ ከተቀበለ, ተጓዳኝ ስጋቶች ምንም አይደሉም. የ 1 እና 2 ዓይነቶች ማስፈራሪያዎች በፒዲ ኦፕሬተሮች እምብዛም አስፈላጊ እንደሆኑ አይቆጠሩም።
የ PD ደህንነት ደረጃን ከመወሰን በተጨማሪ ኦፕሬተሩ በሕዝብ ደመና ላይ የተወሰኑ ወቅታዊ ስጋቶችን መወሰን እና በተገለፀው የ PD ደህንነት እና ወቅታዊ ስጋቶች ላይ በመመርኮዝ አስፈላጊዎቹን እርምጃዎች እና የመከላከያ ዘዴዎችን መወሰን አለበት ።
FSTEC ሁሉንም ዋና ዋና ስጋቶች በግልፅ ይዘረዝራል። (አስጊ ዳታቤዝ)። የክላውድ መሠረተ ልማት አቅራቢዎች እና ገምጋሚዎች ይህንን ዳታቤዝ በስራቸው ይጠቀማሉ። የማስፈራሪያ ምሳሌዎች እነኚሁና፡
"ስጋቱ በቨርቹዋል ማሽን ውስጥ የሚሰሩ ፕሮግራሞችን ከቨርቹዋል ማሽኑ ውጭ በሚሰሩ ተንኮል አዘል ሶፍትዌሮች የተጠቃሚውን መረጃ ደህንነት የመተላለፍ እድል ነው።" ይህ ስጋት በሃይፐርቫይዘር ሶፍትዌር ውስጥ ያሉ ተጋላጭነቶች በመኖራቸው በቨርቹዋል ማሽኑ ውስጥ ለሚሰሩ ፕሮግራሞች የተጠቃሚ መረጃን ለማከማቸት የሚጠቅመው የአድራሻ ቦታ ከቨርቹዋል ማሽኑ ውጭ በሚሰሩ ተንኮል አዘል ሶፍትዌሮች ካልተፈቀደ ተደራሽነት የተገለለ መሆኑን ያረጋግጣል።
የዚህ ስጋት አተገባበር ተንኮል-አዘል ፕሮግራም ኮድ የቨርቹዋል ማሽንን ድንበሮች በተሳካ ሁኔታ ካሸነፈ የሃይፐርቫይዘርን ተጋላጭነቶችን በመጠቀም ብቻ ሳይሆን ከዝቅተኛ (ከሃይፐርቫይዘር ጋር በተዛመደ) እንዲህ ያለውን ተፅእኖ በማካሄድ ነው. የስርዓት ተግባር."
“ስጋቱ የአንዱ የደመና አገልግሎት ሸማች የተጠበቀውን መረጃ ከሌላው የማግኘት እድል ላይ ነው። ይህ ስጋት በደመና ቴክኖሎጂዎች ተፈጥሮ ምክንያት የደመና አገልግሎት ተጠቃሚዎች ተመሳሳይ የደመና መሠረተ ልማት መጋራት ስላለባቸው ነው። የደመና መሠረተ ልማት ክፍሎችን በደመና አገልግሎት ተጠቃሚዎች መካከል ሲለዩ እንዲሁም ሀብታቸውን ሲገለሉ እና መረጃን እርስ በእርስ ሲለያዩ ስህተቶች ከተደረጉ ይህ ስጋት እውን ሊሆን ይችላል።
ምናባዊ ሃብቶችን የሚያስተዳድረው እሱ ስለሆነ ከእነዚህ አደጋዎች መከላከል የሚችሉት በሃይፐርቫይዘር እርዳታ ብቻ ነው። ስለሆነም ሃይፐርቫይዘር እንደ መከላከያ ዘዴ ተደርጎ መወሰድ አለበት.
እና መሠረት እ.ኤ.አ. የካቲት 18 ቀን 2013 ሃይፐርቫይዘር በደረጃ 4 ኤንዲቪ ያልሆነ መሆኑ መረጋገጥ አለበት፣ ይህ ካልሆነ ግን ደረጃ 1 እና 2 የግል መረጃን መጠቀም ህገወጥ ይሆናል (" አንቀጽ 12 ... ደረጃ 1 እና 2 የግል መረጃ ደህንነትን ለማረጋገጥ፣ እንዲሁም ዓይነት 3 ዛቻዎች ወቅታዊ ተብለው በተመደቡባቸው የመረጃ ሥርዓቶች ውስጥ ደረጃ 2 የግል መረጃ ደህንነትን ለማረጋገጥ የመረጃ ደህንነት መሣሪያዎች ጥቅም ላይ ይውላሉ፣ ሶፍትዌሩም ጥቅም ላይ ይውላል። ያልታወቁ ችሎታዎች በሌሉበት ቢያንስ በ 4 የቁጥጥር ደረጃ ተፈትኗል").
በሩሲያ ውስጥ የተገነባው አንድ hypervisor ብቻ አስፈላጊው የምስክር ወረቀት NDV-4 አለው. . በትንሹ ለማስቀመጥ, በጣም ታዋቂው መፍትሄ አይደለም. የንግድ ደመናዎች, እንደ አንድ ደንብ, የተገነቡት በ VMware vSphere, KVM, Microsoft Hyper-V መሰረት ነው. ከእነዚህ ምርቶች ውስጥ አንዳቸውም በNDV-4 የተመሰከረላቸው አይደሉም። ለምን? ለአምራቾች እንዲህ ዓይነቱን የምስክር ወረቀት ማግኘቱ በኢኮኖሚያዊ ሁኔታ ገና ያልተረጋገጠ ሊሆን ይችላል።
እና ለደረጃ 1 እና 2 የግል መረጃ በአደባባይ ደመና ውስጥ የቀረው ሁሉ Horizon BC ነው። አሳዛኝ ግን እውነት.
ሁሉም ነገር (በእኛ አስተያየት) በትክክል እንዴት እንደሚሰራ
በቅድመ-እይታ, ሁሉም ነገር በጣም ጥብቅ ነው-በ NDV-4 መሰረት የተረጋገጠ የሃይፐርቫይዘር መደበኛ የመከላከያ ዘዴዎችን በትክክል በማዋቀር እነዚህ ስጋቶች መወገድ አለባቸው. ግን አንድ ቀዳዳ አለ. በ FSTEC ትዕዛዝ ቁጥር 21 (እ.ኤ.አ.)"አንቀጽ 2 የግል መረጃን ደህንነት በግላዊ መረጃ ስርዓት ውስጥ ሲሰራ (ከዚህ በኋላ የመረጃ ስርዓቱ ተብሎ የሚጠራው) በኦፕሬተሩ ወይም ኦፕሬተሩን ወክሎ የግል መረጃን በሚያሰራ ሰው የተረጋገጠ ነው ። የራሺያ ፌዴሬሽን"), አቅራቢዎች በተናጥል ሊከሰቱ የሚችሉ ስጋቶችን አስፈላጊነት ይገመግማሉ እና በዚህ መሠረት የመከላከያ እርምጃዎችን ይመርጣሉ። ስለዚህ, UBI.44 እና UBI.101 ማስፈራሪያዎችን እንደ ወቅታዊነት ካልተቀበሉ, በ NDV-4 መሰረት የተረጋገጠ ሃይፐርቫይዘር መጠቀም አያስፈልግም, ይህም በትክክል ለእነሱ ጥበቃ መስጠት አለበት. እና ይህ Roskomnadzor ሙሉ በሙሉ የሚረካ የግል መረጃ ደህንነት ደረጃዎች 1 እና 2 ያለው የህዝብ ደመናን የመታዘዙን የምስክር ወረቀት ለማግኘት በቂ ይሆናል ።
እርግጥ ነው, ከ Roskomnadzor በተጨማሪ, FSTEC ከቁጥጥር ጋር ሊመጣ ይችላል - እና ይህ ድርጅት በቴክኒካዊ ጉዳዮች ላይ የበለጠ ጥንቃቄ የተሞላበት ነው. ለምን በትክክል UBI.44 እና UBI.101 ዛቻዎች አግባብነት እንደሌላቸው ተደርገው እንደተቆጠሩ ለማወቅ ትፈልጋለች? ግን አብዛኛውን ጊዜ FSTEC ፍተሻ የሚያደርገው ስለ አንዳንድ ጉልህ ክስተት መረጃ ሲደርሰው ብቻ ነው። በዚህ ሁኔታ የፌደራል አገልግሎት በመጀመሪያ ወደ የግል መረጃ ኦፕሬተር ይመጣል - ማለትም የደመና አገልግሎቶች ደንበኛ። በጣም በከፋ ሁኔታ ኦፕሬተሩ ትንሽ ቅጣት ይቀበላል - ለምሳሌ, በዓመቱ መጀመሪያ ላይ ለትዊተር በተመሳሳይ ሁኔታ 5000 ሩብልስ. ከዚያ FSTEC ወደ ደመና አገልግሎት አቅራቢው የበለጠ ይሄዳል። የቁጥጥር መስፈርቶችን ባለማክበር ምክንያት ፈቃድ ሊነፈግ ይችላል - እና እነዚህ ለደመና አቅራቢውም ሆነ ለደንበኞቹ ፍጹም የተለያዩ አደጋዎች ናቸው። ግን እደግመዋለሁ FSTECን ለመፈተሽ ብዙውን ጊዜ ግልጽ ምክንያት ያስፈልግዎታል። ስለዚህ የደመና አቅራቢዎች አደጋዎችን ለመውሰድ ፈቃደኞች ናቸው። የመጀመሪያው ከባድ ክስተት ድረስ.
እንደ vGate ያለ ተጨማሪ ወደ ሃይፐርቫይዘር በማከል ሁሉንም ስጋቶች መዝጋት ይቻላል ብለው የሚያምኑ "የበለጠ ኃላፊነት የሚሰማቸው" አቅራቢዎች ቡድንም አለ። ነገር ግን ለአንዳንድ ስጋቶች በደንበኞች መካከል በተሰራጨ ምናባዊ አካባቢ (ለምሳሌ ከላይ የተጠቀሰው UBI.101) ውጤታማ የመከላከያ ዘዴ በ NDV-4 መሰረት በተረጋገጠ ሃይፐርቫይዘር ደረጃ ብቻ ነው ሊተገበር የሚችለው ማንኛውም ተጨማሪ ስርዓቶች ወደ የሃይፐርቫይዘር ሀብቶችን (በተለይ ራም) ለማስተዳደር መደበኛ ተግባራት አይነኩም.
እንዴት እንደምንሰራ
በFSTEC የተረጋገጠ (ነገር ግን ለኤንዲቪ-4 ያለ ማረጋገጫ) በሃይፐርቫይዘር ላይ የተተገበረ የደመና ክፍል አለን። ይህ ክፍል የተረጋገጠ ነው, ስለዚህ የግል ውሂብ በእሱ ላይ ተመስርቶ በደመና ውስጥ ሊከማች ይችላል 3 እና 4 የደህንነት ደረጃዎች - ካልተገለጸ ችሎታዎች ለመጠበቅ የሚያስፈልጉ መስፈርቶች እዚህ መታየት አያስፈልጋቸውም። በነገራችን ላይ የእኛ ደህንነቱ የተጠበቀ የደመና ክፍል አርክቴክቸር እዚህ አለ፡-
ለግል ውሂብ ስርዓቶች 1 እና 2 የደህንነት ደረጃዎች እኛ በተዘጋጁ መሣሪያዎች ላይ ብቻ እንተገብራለን. በዚህ ጉዳይ ላይ ብቻ ለምሳሌ የ UBI.101 ስጋት በእውነቱ አግባብነት የለውም ምክንያቱም በአንድ ምናባዊ አካባቢ ያልተጣመሩ የአገልጋይ መደርደሪያዎች በተመሳሳይ የውሂብ ማእከል ውስጥ ቢገኙም እርስ በእርሳቸው ተጽዕኖ ማድረግ አይችሉም. ለእንደዚህ አይነት ጉዳዮች ልዩ የሆነ የመሳሪያ ኪራይ አገልግሎት እናቀርባለን (ይህም ሃርድዌር እንደ አገልግሎት ተብሎም ይጠራል)።
ለግል ዳታ ስርዓትዎ ምን አይነት የደህንነት ደረጃ እንደሚያስፈልግ እርግጠኛ ካልሆኑ፣ እሱንም ለመመደብ እንረዳለን።
መደምደሚያ
የእኛ አነስተኛ የገበያ ጥናት እንደሚያሳየው አንዳንድ የክላውድ ኦፕሬተሮች ትዕዛዝ ለመቀበል የደንበኞችን መረጃ ደህንነት እና የወደፊት እራሳቸውን አደጋ ላይ ሊጥሉ ፈቃደኞች ናቸው። ነገር ግን በእነዚህ ጉዳዮች ላይ ከዚህ በላይ በአጭሩ የገለጽነውን የተለየ ፖሊሲ እንከተላለን። በአስተያየቶቹ ውስጥ ለጥያቄዎችዎ መልስ ለመስጠት ደስተኞች እንሆናለን.
ምንጭ: hab.com