Olim petentibus nubem officia accepimus. Nos generaliter delineavimus quid a nobis requireretur et album quaestionum ad singula declarandum remisit. Tunc responsa resolvimus ac perspeximus: emptori personali notitias secundae securitatis in nube ponere vult. Respondemus ei: "Habes secundo gradu notitiarum personalium, doleo, solum nubem privatam creare possumus." Et ille: "Scis, sed in comitatu X omnia publice mihi nuntiare possunt."
Photo by Steve Crisp, Reuters
Mira res! Venimus ad locum societatis X, documenta certificationis eorum studuerunt, capita nostra excusserunt et intellexerunt: multae sunt quaestiones apertae in collocatione notitiarum personalium et pertractandae. Id quod in hac poste faciemus.
Ut omne opus sit
Primum, quid indices personales notitias in uno vel altero gradu securitatis indicando adhibeantur. Hoc genus notitiarum dependet, numerus subiectorum huius notitiae, quae operator commeatuum et processuum, necnon genus minarum hodiernarum.
Genera minarum currentium definiuntur datas die 1 mensis Novembris anno MMXII "De approbatione requisitorum ad tutelam notitiarum personalium per eorum processus in systematis informationis personalibus":
"Type 1 minae pertinentes ad informationem ratio si includit" ad current minas cum coram undocumented (innuntiatum) capabilities in systematis software "in notitia ratio.
Minis 2nd generis pertinentes ad systema informativum si ad eam, comprehendo ad current minas cum coram undocumented (innuntiatum) capabilities in application softwarein notitia ratio.
Minis 3 generis ad informationem rationem pertinentes si ad eam minae quae non sunt mutatae cum coram undocumented (innuntiatum) capabilities in ratio et application softwarein notitia ratio ".
Summa in his definitionibus est praesentia facultatum undocumentarum (innuntiatorum). Ad confirmationem facultatum programmatum undocumentarum absentia (in casu nubis hypervisoris hoc est), certificatio facta est a FSTEC Russiae. Si operator PD accipiat nullas tales facultates in programmate esse, minae correspondentes nullius momenti sunt. Minae specierum 1 et 2 valde raro a PD operatoribus pertinentes considerantur.
Praeter ordinem securitatis PD determinandum, auctor etiam minas minas publicas ad nubes publicas determinare debet et, in identitate securitatis PD et minas currentis, mensuras et subsidia contra eos necessaria determinare.
FSTEC clare enumerat omnes minas praecipuas in (Datis comminatio). Nubes infrastructurae provisores et assessores hac datorum opera utuntur. Hic minarum exempla sunt;
: "Minatio est possibilitas violationis securitatis usoris data programmatum intra virtualem machinam operantem per malam machinam extra machinam virtualem operantem." Haec comminatio debetur praesentiae vulnerabilium in programmate hypervisoris, quae efficit ut spatium electronicum adhibitum ad reponendas usoris notitias pro programs operando intra machinam virtualem segregetur ab accessu alieno a malitioso programmate extra virtualem machinam operante.
Exsecutio huius comminationis fieri potest, dummodo malitiosa programmatis codicei fines machinae virtualis feliciter superet, non solum abutendo vulnerabilitates hypervisoris, sed etiam per talem ictum ab inferioribus (respectivis hypervisoris) gradibus superat. ratio muneris ".
: “Minatio est in possibilitate alienum accessum ad informationem unius nubis servitii consumpti ab alio. Hoc periculum est ex eo quod, ex natura technologiae nubis, ministerium nubem consumerent eandem nubem infrastructuram communicare habent. Haec comminatio intellegi potest si errores fiunt, cum nubes infrastructuras separant elementa inter nubes muneris consumerent, tum cum opes suas et notitias ab invicem separantes ».
Contra has minas tantum hypervisoris ope tueri potes, cum ea sit quae virtuales facultates administrat. Sic hypervisor pro subsidio habendus est.
Et secundum datas die 18 Februarii 2013, hypervisor certificari debet ut non-NDV in gradu 4, secus usus graduum 1 et 2 personalis notitiae cum eo illegalis erit ("Clause XII. ... Ut gradus 12 et 1 personalium notitiarum securitatis curent, necnon ut gradus 2 personalis notitiae securitatis in systematibus informationibus pro quibus generis 3 minae collocantur ut current, instrumenta securitatis informationis adhibentur, cuius programmatio fuit. probatum saltem secundum 2 gradum imperii in absentia facultatum indeclaratarum ").
Unus tantum hypervisor, qui in Russia evolvitur, gradum certificationis requisitum habet, NDV-4. . Leniter, non popularis solutio. Nubes commerciales regulariter aedificatae sunt ex VMware vSphere, KVM, Microsoft Hyper-V. Nihil horum productorum NDV-4 certificati sunt. Quare? Verisimile est talem certificationem pro fabricatoribus obtinendis nondum oeconomice iustificari.
Et omnia quae nobis pro gradu 1 et 2 personali notitiae nostrae in nube publica remanent, Horizontis BC est. Miserm sed verum.
Quomodo omnia (in nostra opinione) vere operatur
Primo aspectu omnia stricte sunt: hae minae eliminandae sunt per mechanismos hypervisoris notificati secundum NDV-4. Sed quis effugium est. Iuxta Ordinem FSTEC N. 21 ("Clausula 2 Personalis notitiae securitatis, cum in systemate notitiarum personalium (infra ad informationem systematis refertur) consulitur ab operator vel persona personae notitiae personae dispensandae pro operante ad normam Foedus Russicum"), provisores independenter aestimare minarum possibilium congruentiam ac praesidia proinde praesidia eligere. Si ergo minas UBI.44 et UBI.101 pro currente non recipias, non opus erit ut hypervisore certificato secundum NDV-4, quae plane contra eos praesidio debet. Atque hoc satis erit ut testimonium obsequii publicae nubis cum gradibus 1 et 2 obtineat securitatis personalis notitiae, quae Roskomnadzor omnino contentus erit.
Utique, praeter Roskomnadzor, FSTEC inspectione venire potest - et haec norma multo magis sollicita est in rebus technicis. Probabiliter erit illa interesse cur minae UBI.44 et UBI.101 prorsus inutiles censentur? Sed plerumque FSTEC inspectionem suscipit solum cum informationes accipit de aliquo significativo casu. Hoc in casu, officium foederati primum ad personalia operae notitiae pervenit, id est, ad officia nubis emptoris. In pessimo casu, auctor parvam subtilitatem accipit - exempli gratia, Twitter ineunte anno in simili casu ad 5000 rublorum. Deinde FSTEC ulterius ad nubes servitium provisor accedit. Quae bene caret licentia ob defectum regulatoriis requisitis obtemperandi - et haec omnino diversa sunt pericula, tam provisor quam pro clientibus suis. Sed, inquam, Sisto FSTEC, clara ratione solere opus est. Provisores igitur nubes periculum accipere volunt. Donec primis gravis incidunt.
Est etiam coetus provisorum "magis officiorum" qui credunt posse omnes minas claudere addendo ad instar vGate hypervisori. Sed in ambitu virtuali inter clientes pro aliquibus minis distributis (exempli gratia supra UBI.101), mechanismus efficax tutelae mechanismus perfici non potest nisi in plano hypervisoris certificati secundum NDV-4, cum quaelibet systemata addendi ad vexillum hypervisoris functiones ad facultates administrandas (in specie RAM) non afficiunt.
Quomodo laboramus?
Segmentum nubis in hypervisore confectum habemus per FSTEC certificatum (sed sine certificatione pro NDV-4). Segmentum hoc certificatum est, ergo notitia personalia in nube subnixa condi potest III et IV gradus securitatis - requisita pro tutela contra facultates indeclaratas non indigent hic observari. Hic obiter est architectura segmenti nubis nostrae securae;
Systema personale notitia III et IV gradus securitatis Tantum in sacratis instrumentis deducendi sumus. Tantum in hoc casu, exempli gratia, comminatio UBI.101 re vera non pertinet, cum servo tormenta quae ab uno virtuali ambitu non coniunguntur, se invicem afficere non possunt etiam cum in eodem centri notitia collocantur. Talibus in casibus offerimus servitutem dedicatam censum (etiam vocatur Hardware ut servitium).
Si certa non es, quid securitatis gradus ad systema personale notae tuae requiratur, nos etiam adiuvamus in eo digerendo.
conclusio,
Investigatio nostra parva mercatus ostendit aliquos operatores nubeculas satis promptos esse periculo et securitatis notitiarum emptorum et suorum futurorum ordinem recipere. Sed in his alia ratione, quam mox supra breviter descripsimus, adhaeremus. Laeti erimus in commentaria quaestionibus tuis responde.
Source: www.habr.com