یوه ورځ موږ د بادل خدماتو غوښتنه ترلاسه کړه. موږ په عمومي شرایطو کې تشریح کړه چې زموږ څخه به څه ته اړتیا وي او د توضیحاتو روښانه کولو لپاره د پوښتنو لیست بیرته واستول شو. بیا موږ ځوابونه تحلیل کړل او پوه شو: پیرودونکي غواړي په کلاوډ کې د امنیت دوهم کچې شخصي معلومات ځای په ځای کړي. موږ ورته ځواب ورکړ: "تاسو د شخصي معلوماتو دوهمه کچه لرئ، بخښنه غواړو، موږ یوازې یو شخصي کلاوډ جوړولای شو." او هغه: "تاسو پوهیږئ، مګر په شرکت X کې دوی کولی شي هرڅه ما ته په عامه توګه پوسټ کړي."
د سټیو کریسپ لخوا عکس، رویټرز
عجیب شیان! موږ د شرکت X ویب پاڼې ته لاړو، د دوی د تصدیق اسناد یې مطالعه کړل، خپل سر یې وخوځاوه او پوه شو: د شخصي معلوماتو ځای پرځای کولو کې ډیری خلاصې پوښتنې شتون لري او دوی باید په بشپړ ډول حل شي. دا هغه څه دي چې موږ به پدې پوسټ کې وکړو.
هر څه باید څنګه کار وکړي
لومړی، راځئ چې معلومه کړو چې کوم معیارونه د شخصي معلوماتو د یوې یا بلې کچې امنیت په توګه طبقه بندي کولو لپاره کارول کیږي. دا د معلوماتو په کټګورۍ پورې اړه لري، د دې معلوماتو د مضامینو شمیر چې آپریټر یې ذخیره کوي او پروسس کوي، او همدارنګه د اوسني ګواښونو ډول.
د اوسنیو ګواښونو ډولونه په کې تعریف شوي دي د نومبر 1، 2012 نیټه "د شخصي معلوماتو معلوماتو سیسټمونو کې د پروسس کولو په جریان کې د شخصي معلوماتو د ساتنې لپاره د اړتیاو په تصویب":
"د ډول 1 ګواښونه د معلوماتو سیسټم لپاره اړین دي که چیرې پدې کې شامل وي اړوند اوسني ګواښونه د غیر مستند (نا اعلان شوي) وړتیاو شتون سره په سیسټم سافټویر کېد معلوماتو سیسټم کې کارول کیږي.
د دوهم ډول ګواښونه د معلوماتو سیسټم لپاره اړین دي که د هغې لپاره، په شمول اړوند اوسني ګواښونه د غیر مستند (نا اعلان شوي) وړتیاو شتون سره په اپلیکیشن سافټویر کېد معلوماتو سیسټم کې کارول کیږي.
د دریم ډول ګواښونه د معلوماتو سیسټم لپاره اړین دي که د هغې لپاره ګواښونه چې تړاو نلري د غیر مستند (نا اعلان شوي) وړتیاو شتون سره په سیسټم او غوښتنلیک سافټویر کېد معلوماتو سیسټم کې کارول کیږي."
په دې تعریفونو کې اصلي شی د غیر مستند (نا اعلان شوي) وړتیاو شتون دی. د غیر مستند شوي سافټویر وړتیاو نشتوالي تصدیق کولو لپاره (د بادل په حالت کې ، دا یو هایپروایسر دی) ، تصدیق د روسیې د FSTEC لخوا ترسره کیږي. که چیرې د PD آپریټر دا ومني چې په سافټویر کې داسې وړتیاوې شتون نلري، نو ورته ګواښونه غیر معقول دي. د 1 او 2 ډولونو ګواښونه په ندرت سره د PD آپریټرانو لخوا اړونده ګڼل کیږي.
د PD امنیت کچې ټاکلو سربیره ، آپریټر باید عامه کلاوډ ته ځانګړي اوسني ګواښونه هم وټاکي او د PD امنیت او اوسني ګواښونو پیژندل شوي کچې پراساس د دوی پروړاندې د محافظت اړین اقدامات او وسیلې وټاکي.
FSTEC په واضح ډول ټول اصلي ګواښونه لیست کوي (د ګواښ ډیټابیس). د کلاوډ زیربنا چمتو کونکي او ارزونکي دا ډیټابیس په خپلو کارونو کې کاروي. دلته د ګواښونو مثالونه دي:
: "ګواښ د مجازی ماشین دننه د ناوړه سافټویر په واسطه چې د مجازی ماشین څخه بهر فعالیت کوي د برنامو کارونکي ډیټا د امنیت څخه سرغړونې احتمال دی." دا ګواښ د هایپروایزر سافټویر کې د زیان منونکو شتون له امله دی ، کوم چې دا ډاډ ورکوي چې د مجازی ماشین دننه فعالیت کولو برنامو لپاره د کارونکي ډیټا ذخیره کولو لپاره کارول شوي د پته ځای د مجازی ماشین څخه بهر د ناوړه سافټویر لخوا د غیر مجاز لاسرسي څخه جلا دی.
د دې ګواښ پلي کول ممکن دي په دې شرط چې د ناوړه پروګرام کوډ په بریالیتوب سره د مجازی ماشین حدود تیر کړي، نه یوازې د هایپروایزر د زیانونو څخه ګټه پورته کولو سره، بلکې د ټیټ (د هایپروایزر سره اړونده) کچې څخه د داسې اغیزې په ترسره کولو سره. سیسټم فعالیت کوي."
: "ګواښ د یو کلاوډ خدمت مصرف کونکي له بل څخه خوندي معلوماتو ته د غیر مجاز لاسرسي په احتمال کې دی. دا ګواښ د دې حقیقت له امله دی چې د کلاوډ ټیکنالوژیو طبیعت له امله ، د کلاوډ خدماتو مصرف کونکي باید ورته بادل زیربنا شریک کړي. دا ګواښ درک کیدی شي که چیرې غلطۍ رامینځته شي کله چې د کلاوډ خدماتو مصرف کونکو ترمینځ د کلاوډ زیربنا عناصر جلا کول ، او همدارنګه کله چې د دوی سرچینې جلا کول او له یو بل څخه ډیټا جلا کول.
تاسو کولی شئ یوازې د هایپروایزر په مرسته د دې ګواښونو پروړاندې ساتنه وکړئ ، ځکه چې دا هغه دی چې مجازی سرچینې اداره کوي. په دې توګه، هایپروایسر باید د ساتنې وسیله وګڼل شي.
او سره سم د فبروري په 18، 2013 نیټه، هایپروایسر باید په 4 کچه د غیر NDV په توګه تصدیق شي، که نه نو د دې سره د 1 او 2 شخصي معلوماتو کارول به غیرقانوني وي ("۱۲ فقره. د شخصي معلوماتو امنیت 12 او 1 کچې ډاډ ترلاسه کولو لپاره ، او همدارنګه د معلوماتو سیسټمونو کې د شخصي معلوماتو امنیت 2 کچې ډاډ ترلاسه کولو لپاره چې د 3 ډوله ګواښونه اوسني په توګه طبقه بندي شوي ، د معلوماتو امنیت وسیلې کارول کیږي ، چې سافټویر یې لږترلږه د غیر اعلان شوي وړتیاو په نشتوالي کې د کنټرول د 2 کچې سره سم ازمول شوی").
یوازې یو هایپروایسر چې په روسیه کې رامینځته شوی، د اړتیا وړ سند لري، NDV-4. . دا په نرمۍ سره واچوئ، نه خورا مشهور حل. سوداګریز بادل، د یوې قاعدې په توګه، د VMware vSphere، KVM، Microsoft Hyper-V پر بنسټ جوړ شوي. د دې محصولاتو څخه هیڅ یو د NDV-4 تصدیق شوی ندي. ولې؟ احتمال شتون لري چې د تولید کونکو لپاره دا ډول تصدیق ترلاسه کول لاهم له اقتصادي پلوه توجیه ندي.
او ټول هغه څه چې زموږ لپاره په عامه کلاوډ کې د 1 او 2 شخصي معلوماتو لپاره پاتې دي Horizon BC دي. غمجن مګر ریښتیا.
څنګه هرڅه (زموږ په نظر) واقعیا کار کوي
په لومړي نظر کې، هرڅه خورا سخت دي: دا ګواښونه باید د NDV-4 سره سم تصدیق شوي هایپروایسر معیاري محافظت میکانیزمونو په سمه توګه تنظیم کولو سره له منځه یوړل شي. مګر یو نیمګړتیا شتون لري. د FSTEC حکم نمبر 21 سره سم (فقره 2 د شخصي معلوماتو امنیت کله چې د شخصي معلوماتو معلوماتو سیسټم کې پروسس کیږي (له دې وروسته د معلوماتو سیسټم په نوم یادیږي) د آپریټر یا هغه شخص لخوا تضمین کیږي چې د آپریټر په استازیتوب شخصي معلومات پروسس کوي. د روسیې فدراسیون")، چمتو کونکي په خپلواکه توګه د احتمالي ګواښونو مطابقت ارزوي او د هغې مطابق د محافظت تدابیر غوره کوي. له همدې امله، که تاسو د UBI.44 او UBI.101 اوسني ګواښونه ونه منئ، نو د NDV-4 سره سم تصدیق شوي هایپروایزر کارولو ته اړتیا نشته، کوم چې دقیقا هغه څه دي چې باید د دوی په وړاندې محافظت چمتو کړي. او دا به د شخصي معلوماتو امنیت 1 او 2 کچې سره د عامه کلاوډ اطاعت سند ترلاسه کولو لپاره کافي وي ، کوم چې Roskomnadzor به په بشپړ ډول مطمین وي.
البته، د Roskomnadzor سربیره، FSTEC کیدای شي د تفتیش سره راشي - او دا اداره په تخنیکي مسلو کې خورا پیچلې ده. هغه به شاید علاقه ولري چې ولې په ریښتیا د UBI.44 او UBI.101 ګواښونه غیر معقول وګڼل شول؟ مګر معمولا FSTEC یوازې هغه وخت تفتیش ترسره کوي کله چې دا د یوې مهمې پیښې په اړه معلومات ترلاسه کوي. پدې حالت کې، فدرالي خدمت لومړی د شخصي معلوماتو آپریټر ته راځي - دا د کلاوډ خدماتو پیرودونکی دی. په بدترین حالت کې، آپریټر یو کوچنی جریمه ترلاسه کوي - د بیلګې په توګه، د کال په پیل کې د ټویټر لپاره په ورته قضیه کې د 5000 روبلو اندازه. بیا FSTEC نور د بادل خدمت چمتو کونکي ته ځي. کوم چې ممکن د تنظیمي اړتیاو په پوره کولو کې د پاتې راتلو له امله د جواز څخه بې برخې شي - او دا په بشپړ ډول مختلف خطرونه دي ، دواړه د بادل چمتو کونکي او د دې پیرودونکو لپاره. خو زه تکراروم د FSTEC چک کولو لپاره، تاسو معمولا روښانه دلیل ته اړتیا لرئ. نو د بادل چمتو کونکي چمتو دي چې خطرونه واخلي. تر لومړۍ جدي پېښې پورې.
د "ډیر مسؤل" چمتو کونکو یوه ډله هم شتون لري چې پدې باور دي چې دا ممکنه ده چې په هایپروایزر کې د vGate په څیر اضافه کولو سره ټول ګواښونه له مینځه ویسي. مګر په یو مجازی چاپیریال کې چې د پیرودونکو ترمنځ د ځینې ګواښونو لپاره ویشل شوي (د مثال په توګه، پورتني UBI.101)، یو اغیزمن محافظت میکانیزم یوازې د NDV-4 سره سم تصدیق شوي هایپروایزر په کچه پلي کیدی شي، ځکه چې هر ډول اضافي سیسټمونه د سرچینو اداره کولو لپاره د هایپروایزر معیاري دندې (په ځانګړي توګه ، RAM) اغیزه نه کوي.
موږ څنګه کار کوو
موږ د بادل برخه لرو چې د FSTEC لخوا تصدیق شوي هایپروایسر باندې پلي کیږي (مګر د NDV-4 لپاره تصدیق پرته). دا برخه تصدیق شوې، نو د دې پر بنسټ شخصي معلومات په بادل کې زیرمه کیدی شي د امنیت 3 او 4 کچه - د غیر اعلان شوي وړتیاوو په وړاندې د ساتنې اړتیاوې باید دلته وڅیړل شي. دلته، په لاره کې، زموږ د خوندي بادل برخې جوړښت دی:
د شخصي معلوماتو لپاره سیسټمونه د امنیت 1 او 2 کچه موږ یوازې په وقف شوي تجهیزاتو پلي کوو. یوازې په دې حالت کې، د مثال په توګه، د UBI.101 ګواښ واقعیا اړونده نه دی، ځکه چې د سرور ریکونه چې د یو مجازی چاپیریال لخوا متحد نه وي حتی یو بل اغیزه نشي کولی حتی کله چې په ورته ډیټا مرکز کې موقعیت ولري. د داسې قضیو لپاره، موږ د وقف شوي تجهیزاتو کرایه کولو خدمت وړاندیز کوو (دا د خدمت په توګه هارډویر هم ویل کیږي).
که تاسو ډاډه نه یاست چې ستاسو د شخصي ډیټا سیسټم لپاره کومې کچې امنیت ته اړتیا ده، موږ د هغې په طبقه بندي کولو کې هم مرسته کوو.
پایلې
زموږ د کوچني بازار څیړنې ښودلې چې ځینې کلاوډ آپریټران د پیرودونکي ډیټا امنیت او د دوی خپل راتلونکي دواړه خطر ته لیواله دي ترڅو یو آرډر ترلاسه کړي. مګر پدې مسلو کې موږ یو بل پالیسۍ ته غاړه کیږدو، کوم چې موږ په لنډه توګه پورته بیان کړل. موږ به خوښ یو چې ستاسو پوښتنو ته په نظرونو کې ځواب ووایو.
سرچینه: www.habr.com