هڪ ڏينهن اسان کي ڪلائوڊ سروسز لاءِ درخواست ملي. اسان عام اصطلاحن ۾ بيان ڪيو ته اسان کي ڪهڙي ضرورت پوندي ۽ تفصيلن کي واضح ڪرڻ لاءِ سوالن جي هڪ فهرست واپس موڪليو. پوء اسان جوابن جو تجزيو ڪيو ۽ محسوس ڪيو: گراهڪ بادل ۾ سيڪيورٽي جي ٻئي سطح جي ذاتي ڊيٽا رکڻ چاهي ٿو. اسان کيس جواب ڏيون ٿا: "توهان وٽ ذاتي ڊيٽا جو ٻيو سطح آهي، معاف ڪجو، اسان صرف هڪ خانگي بادل ٺاهي سگهون ٿا." ۽ هو: "توهان کي خبر آهي، پر ڪمپني ايڪس ۾ اهي سڀ ڪجهه مون کي عوامي طور تي پوسٽ ڪري سگهن ٿا."
اسٽيو ڪرسپ پاران فوٽو، رائٽرز
عجيب شيون! اسان ڪمپني X جي ويب سائيٽ تي ويا، انهن جي سرٽيفڪيشن دستاويزن جو مطالعو ڪيو، اسان جي ڪنڌ کي ڇڪايو ۽ محسوس ڪيو: ذاتي ڊيٽا جي جڳهه ۾ ڪيترائي کليل سوال آهن ۽ انهن کي چڱي طرح خطاب ڪيو وڃي. اھو آھي جيڪو اسان ھن پوسٽ ۾ ڪنداسين.
هر شي کي ڪيئن ڪم ڪرڻ گهرجي
پهرين، اچو ته اهو معلوم ڪريون ته ذاتي ڊيٽا کي سيڪيورٽي جي هڪ يا ٻئي سطح جي طور تي درجه بندي ڪرڻ لاءِ ڪهڙا معيار استعمال ڪيا ويا آهن. اهو منحصر آهي ڊيٽا جي درجي تي، هن ڊيٽا جي مضمونن جو تعداد جيڪو آپريٽر اسٽور ۽ پروسيس ڪري ٿو، ۽ انهي سان گڏ موجوده خطرن جو قسم.
موجوده خطرن جي قسمن ۾ وضاحت ڪئي وئي آهي تاريخ نومبر 1، 2012 "ذاتي ڊيٽا جي معلومات جي سسٽم ۾ پروسيسنگ دوران ذاتي ڊيٽا جي تحفظ جي ضرورتن جي منظوري تي":
"ٽائپ 1 خطرا هڪ معلوماتي سسٽم لاءِ لاڳاپيل آهن جيڪڏهن اهو شامل هجي موجوده خطرن سان لاڳاپيل غير دستاويزي (غير اعلانيل) صلاحيتن جي موجودگي سان سسٽم سافٽ ويئر ۾انفارميشن سسٽم ۾ استعمال ٿيل.
ٻئي قسم جا خطرا انفارميشن سسٽم لاءِ لاڳاپيل آهن جيڪڏهن ان لاءِ، بشمول موجوده خطرن سان لاڳاپيل غير دستاويزي (غير اعلانيل) صلاحيتن جي موجودگي سان ايپليڪيشن سافٽ ويئر ۾انفارميشن سسٽم ۾ استعمال ٿيل.
3rd قسم جا خطرا انفارميشن سسٽم لاءِ لاڳاپيل آهن جيڪڏهن ان لاءِ ڌمڪيون جيڪي لاڳاپيل نه آهن غير دستاويزي (غير اعلانيل) صلاحيتن جي موجودگي سان سسٽم ۽ ايپليڪيشن سافٽ ويئر ۾انفارميشن سسٽم ۾ استعمال ڪيو ويو.
انهن وصفن ۾ بنيادي شيء غير دستاويزي (اڻ اعلان ٿيل) صلاحيتن جي موجودگي آهي. غير دستاويزي سافٽ ويئر صلاحيتن جي غير موجودگي جي تصديق ڪرڻ لاء (بادل جي صورت ۾، هي هڪ هائپرائزر آهي)، سرٽيفڪيشن روس جي FSTEC پاران ڪيو ويندو آهي. جيڪڏهن PD آپريٽر قبول ڪري ٿو ته سافٽ ويئر ۾ اهڙيون صلاحيتون نه آهن، ته پوءِ لاڳاپيل خطرا غير لاڳاپيل آهن. قسم 1 ۽ 2 جا خطرا PD آپريٽرز جي لحاظ کان تمام گھٽ سمجھيا ويندا آھن.
PD سيڪيورٽي جي سطح کي طئي ڪرڻ کان علاوه، آپريٽر کي لازمي طور تي عوامي بادل کي مخصوص موجوده خطرن جو تعين ڪرڻ گهرجي ۽، PD سيڪيورٽي ۽ موجوده خطرن جي سڃاتل سطح جي بنياد تي، انهن جي خلاف تحفظ جا ضروري قدم ۽ طريقا طئي ڪرڻ گهرجن.
FSTEC واضح طور تي سڀني مکيه خطرن کي لسٽ ڪري ٿو (خطرو ڊيٽابيس). ڪلائوڊ انفراسٽرڪچر فراهم ڪندڙ ۽ تشخيص ڪندڙ هن ڊيٽابيس کي پنهنجي ڪم ۾ استعمال ڪندا آهن. هتي خطرن جا مثال آهن:
: "خطرو هڪ مجازي مشين جي اندر ڪم ڪندڙ پروگرامن جي صارف جي ڊيٽا جي حفاظت جي ڀڃڪڙي ڪرڻ جو امڪان آهي جيڪو ورچوئل مشين کان ٻاهر هلندڙ خراب سافٽ ويئر ذريعي." هي خطرو هائپر ويزر سافٽ ويئر ۾ ڪمزورين جي موجودگي جي ڪري آهي، جيڪو يقيني بڻائي ٿو ته ورچوئل مشين جي اندر ڪم ڪندڙ پروگرامن لاءِ صارف جي ڊيٽا کي ذخيرو ڪرڻ لاءِ استعمال ٿيندڙ ايڊريس اسپيس کي ورچوئل مشين کان ٻاهر هلندڙ خراب سافٽ ويئر جي غير مجاز رسائي کان ڌار ڪيو ويو آهي.
هن خطري کي لاڳو ڪرڻ ممڪن آهي بشرطيڪ ته بدسلوڪي پروگرام ڪوڊ ڪاميابيءَ سان ورچوئل مشين جي حدن کي پار ڪري، نه رڳو هائپر وائزر جي ڪمزورين جو استحصال ڪندي، پر هيٺين (هائپر وائزر جي نسبت سان) سطحن کان به اهڙو اثر کڻڻ سان. سسٽم ڪم ڪري رهيو آهي."
: "خطرو هڪ ڪلائوڊ سروس صارف جي محفوظ معلومات تائين غير مجاز رسائي جي امڪان ۾ آهي ٻئي کان. اهو خطرو هن حقيقت جي ڪري آهي ته، ڪلائوڊ ٽيڪنالاجيز جي فطرت جي ڪري، ڪلائوڊ سروس صارفين کي ساڳيو ڪلائوڊ انفراسٽرڪچر شيئر ڪرڻو پوندو. اهو خطرو محسوس ٿي سگهي ٿو جيڪڏهن غلطيون ڪيون وينديون آهن جڏهن ڪلائوڊ سروس استعمال ڪندڙن جي وچ ۾ ڪلائوڊ انفراسٽرڪچر عناصر کي الڳ ڪرڻ، ۽ گڏوگڏ انهن جي وسيلن کي الڳ ڪرڻ ۽ ڊيٽا کي هڪ ٻئي کان الڳ ڪرڻ.
توهان صرف انهن خطرن جي خلاف حفاظت ڪري سگهو ٿا هائپر ويزر جي مدد سان، ڇو ته اهو ئي آهي جيڪو مجازي وسيلن کي منظم ڪري ٿو. اهڙيء طرح، hypervisor کي تحفظ جو هڪ ذريعو سمجهيو وڃي.
۽ مطابق تاريخ 18 فيبروري 2013، هائپر وائزر کي سطح 4 تي غير NDV طور تصديق ٿيڻ گهرجي، ٻي صورت ۾ ان سان ليول 1 ۽ 2 جي ذاتي ڊيٽا جو استعمال غير قانوني هوندو ("شق 12. ... ذاتي ڊيٽا جي حفاظت جي سطح 1 ۽ 2 کي يقيني بڻائڻ لاءِ، گڏوگڏ معلوماتي سسٽم ۾ ذاتي ڊيٽا جي سيڪيورٽي جي سطح 3 کي يقيني بڻائڻ لاءِ، جن لاءِ قسم 2 خطرن کي موجوده طور تي درجه بندي ڪيو ويو آهي، معلومات جي حفاظت جا اوزار استعمال ڪيا ويا آهن، جن جو سافٽ ويئر استعمال ڪيو ويو آهي. اڻ اعلانيل صلاحيتن جي غير موجودگي تي گهٽ ۾ گهٽ 4 سطح جي ڪنٽرول جي مطابق آزمائيو ويو.).
صرف هڪ هائپرائزر، روس ۾ ترقي ڪئي وئي، سرٽيفڪيشن جي گهربل سطح آهي، NDV-4. . ان کي نرمي سان رکڻ لاء، نه تمام مشهور حل. تجارتي بادل عام طور تي VMware vSphere، KVM، Microsoft Hyper-V جي بنياد تي ٺهيل آهن. انهن شين مان ڪو به NDV-4 تصديق ٿيل ناهي. ڇو؟ اهو امڪان آهي ته ٺاهيندڙن لاء اهڙي سرٽيفڪيشن حاصل ڪرڻ اڃا تائين اقتصادي طور تي جائز نه آهي.
۽ اهو سڀ ڪجهه اسان لاءِ باقي رهي ٿو ليول 1 ۽ 2 جي ذاتي ڊيٽا پبلڪ ڪلائوڊ ۾ آهي Horizon BC. ڏُکوئدڙ پر سچو.
ڪيئن سڀڪنھن شيء کي (اسان جي راء ۾) واقعي ڪم
پهرين نظر ۾، هر شيء بلڪل سخت آهي: انهن خطرن کي ختم ڪيو وڃي صحيح طور تي هڪ هائپر ويزر جي معياري تحفظ واري ميڪانيزم کي ترتيب ڏيڻ سان NDV-4 جي مطابق تصديق ٿيل. پر اتي هڪ loophole آهي. FSTEC آرڊر نمبر 21 جي مطابق ("شق 2 ذاتي ڊيٽا جي حفاظت جڏهن پروسيس ڪئي وئي پرسنل ڊيٽا انفارميشن سسٽم ۾ (هتي انفارميشن سسٽم جي طور تي حوالو ڏنو ويو آهي) آپريٽر يا شخص طرفان آپريٽر جي طرفان ذاتي ڊيٽا کي پروسيسنگ جي مطابق. روسي وفاق")، مهيا ڪندڙ آزاد طور تي ممڪن خطرن جي مطابقت جو جائزو وٺندا آهن ۽ انهن جي مطابق حفاظتي قدمن کي چونڊيندا آهن. تنهن ڪري، جيڪڏهن توهان موجوده طور تي UBI.44 ۽ UBI.101 جي خطرن کي قبول نٿا ڪن، ته پوءِ NDV-4 جي مطابق تصديق ٿيل هائپر وائزر استعمال ڪرڻ جي ڪا ضرورت نه پوندي، جيڪو خاص طور تي انهن جي خلاف تحفظ فراهم ڪرڻ گهرجي. ۽ اھو ڪافي ٿيندو عوامي بادل جي تعميل جو سرٽيفڪيٽ حاصل ڪرڻ لاءِ ليول 1 ۽ 2 جي ذاتي ڊيٽا سيڪيورٽي سان، جنھن سان Roskomnadzor مڪمل طور تي مطمئن ھوندو.
يقينا، Roskomnadzor جي اضافي ۾، FSTEC هڪ معائنو سان گڏ اچي سگهي ٿو - ۽ هي تنظيم فني معاملن ۾ گهڻو وڌيڪ محتاط آهي. هوءَ شايد ان ڳالهه ۾ دلچسپي رکي ٿي ته UBI.44 ۽ UBI.101 جي خطرن کي ڇو غير لاڳاپيل سمجهيو ويو؟ پر عام طور تي FSTEC صرف ان وقت معائنو ڪندو آهي جڏهن ان کي ڪجهه اهم واقعن بابت معلومات ملي ٿي. انهي حالت ۾، وفاقي خدمت پهريون ڀيرو اچي ٿو ذاتي ڊيٽا آپريٽر - اهو آهي، ڪلائوڊ سروسز جو گراهڪ. بدترين صورت ۾، آپريٽر هڪ ننڍڙو جرمانه وصول ڪري ٿو - مثال طور، Twitter لاء سال جي شروعات ۾ ساڳئي صورت ۾ 5000 روبل جي رقم. پوءِ FSTEC اڳتي هلي ڪلائوڊ سروس فراهم ڪندڙ ڏانهن. جيڪو ريگيوليٽري گهرجن جي تعميل ۾ ناڪامي جي ڪري لائسنس کان محروم ٿي سگھي ٿو - ۽ اھي مڪمل طور تي مختلف خطرا آھن، ٻئي بادل فراهم ڪندڙ ۽ ان جي گراهڪن لاءِ. پر، مان ورجائي ٿو، FSTEC چيڪ ڪرڻ لاء، توهان کي عام طور تي واضح سبب جي ضرورت آهي. تنهن ڪري بادل فراهم ڪندڙ خطرو وٺڻ لاءِ تيار آهن. پهرين سنگين واقعي تائين.
اتي پڻ "وڌيڪ ذميوار" مهيا ڪندڙن جو ھڪڙو گروپ آھي جيڪو يقين رکي ٿو ته اھو ممڪن آھي سڀني خطرن کي بند ڪرڻ سان شامل ڪرڻ سان شامل ڪرڻ وانگر vGate کي hypervisor ۾. پر هڪ مجازي ماحول ۾ گراهڪن جي وچ ۾ ورهايل ڪجهه خطرن (مثال طور، مٿي ڏنل UBI.101)، هڪ مؤثر تحفظ واري ميڪانيزم صرف NDV-4 جي مطابق تصديق ٿيل هائپر وائيزر جي سطح تي لاڳو ٿي سگهي ٿو، ڇاڪاڻ ته ڪنهن به اضافو سسٽم لاء وسيلن کي منظم ڪرڻ لاء هائپرائزر جي معياري افعال (خاص طور تي، رام) متاثر نه ڪندا آهن.
اسان ڪيئن ڪم ڪريون ٿا
اسان وٽ FSTEC پاران تصديق ٿيل هائپر ويزر تي ڪلائوڊ سيڪشن لاڳو ڪيو ويو آهي (پر NDV-4 لاءِ سرٽيفڪيشن کان سواءِ). هي ڀاڱو تصديق ٿيل آهي، تنهنڪري ذاتي ڊيٽا ان جي بنياد تي بادل ۾ ذخيرو ٿي سگهي ٿو سيڪيورٽي جي 3 ۽ 4 سطح - غير اعلانيل صلاحيتن جي خلاف تحفظ جي ضرورتن کي هتي ڏسڻ جي ضرورت ناهي. هتي، رستي جي ذريعي، اسان جي محفوظ بادل حصي جو فن تعمير آهي:
ذاتي ڊيٽا لاء سسٽم سيڪيورٽي جي 1 ۽ 2 سطح اسان صرف وقف ٿيل سامان تي عمل ڪندا آهيون. صرف هن صورت ۾، مثال طور، UBI.101 جو خطرو واقعي لاڳاپيل ناهي، ڇاڪاڻ ته سرور ريڪ جيڪي هڪ مجازي ماحول سان متحد نه هوندا آهن هڪ ٻئي تي اثر انداز نٿا ڪري سگهن جيتوڻيڪ ساڳئي ڊيٽا سينٽر ۾ واقع آهن. اهڙين حالتن لاءِ، اسان پيش ڪندا آهيون هڪ وقف ٿيل سامان ڪرائي تي ڏيڻ جي خدمت (اهو پڻ سڏيو ويندو آهي هارڊويئر هڪ خدمت).
جيڪڏهن توهان کي پڪ ناهي ته توهان جي ذاتي ڊيٽا سسٽم لاءِ سيڪيورٽي جي ڪهڙي سطح جي ضرورت آهي، اسان ان کي درجه بندي ڪرڻ ۾ پڻ مدد ڪندا آهيون.
ٿڪل
اسان جي ننڍي مارڪيٽ جي تحقيق ڏيکاري ٿي ته ڪجهه ڪلائوڊ آپريٽرز آرڊر حاصل ڪرڻ لاءِ ڪسٽمر ڊيٽا جي حفاظت ۽ انهن جي پنهنجي مستقبل ٻنهي کي خطرو ڪرڻ لاءِ تيار آهن. پر انهن معاملن ۾ اسان هڪ مختلف پاليسي تي عمل ڪندا آهيون، جنهن کي اسان مختصر طور تي مٿي بيان ڪيو آهي. اسان تبصرن ۾ توهان جي سوالن جا جواب ڏيڻ لاء خوش ٿيندا.
جو ذريعو: www.habr.com