ஒரு நாள் எங்களுக்கு கிளவுட் சேவைகளுக்கான கோரிக்கை வந்தது. எங்களுக்கு என்ன தேவை என்பதை நாங்கள் பொதுவான சொற்களில் கோடிட்டுக் காட்டினோம் மற்றும் விவரங்களை தெளிவுபடுத்த கேள்விகளின் பட்டியலை திருப்பி அனுப்பினோம். பின்னர் நாங்கள் பதில்களை பகுப்பாய்வு செய்து உணர்ந்தோம்: வாடிக்கையாளர் இரண்டாம் நிலை பாதுகாப்பின் தனிப்பட்ட தரவை கிளவுட்டில் வைக்க விரும்புகிறார். நாங்கள் அவருக்குப் பதிலளிக்கிறோம்: "உங்களிடம் இரண்டாவது நிலை தனிப்பட்ட தரவு உள்ளது, மன்னிக்கவும், நாங்கள் ஒரு தனிப்பட்ட மேகக்கணியை மட்டுமே உருவாக்க முடியும்." மேலும் அவர்: "உங்களுக்குத் தெரியும், ஆனால் X நிறுவனத்தில் அவர்கள் எல்லாவற்றையும் என்னிடம் பகிரங்கமாக இடுகையிடலாம்."
ஸ்டீவ் கிரிஸ்ப், ராய்ட்டர்ஸ் மூலம் புகைப்படம்
வினோதமான காரியங்கள்! நாங்கள் X நிறுவனத்தின் இணையதளத்திற்குச் சென்று, அவர்களின் சான்றிதழ் ஆவணங்களைப் படித்து, தலையை அசைத்து உணர்ந்தோம்: தனிப்பட்ட தரவை வைப்பதில் நிறைய திறந்த கேள்விகள் உள்ளன, அவற்றை முழுமையாகக் கவனிக்க வேண்டும். அதைத்தான் இந்த பதிவில் செய்வோம்.
எல்லாம் எப்படி வேலை செய்ய வேண்டும்
முதலில், தனிப்பட்ட தரவை ஒன்று அல்லது மற்றொரு நிலை பாதுகாப்பு என வகைப்படுத்த என்ன அளவுகோல்கள் பயன்படுத்தப்படுகின்றன என்பதைக் கண்டுபிடிப்போம். இது தரவின் வகை, ஆபரேட்டர் சேமிக்கும் மற்றும் செயலாக்கும் இந்தத் தரவின் பாடங்களின் எண்ணிக்கை மற்றும் தற்போதைய அச்சுறுத்தல்களின் வகை ஆகியவற்றைப் பொறுத்தது.
தற்போதைய அச்சுறுத்தல்களின் வகைகள் வரையறுக்கப்பட்டுள்ளன நவம்பர் 1, 2012 தேதியிட்ட "தனிப்பட்ட தரவு தகவல் அமைப்புகளில் செயலாக்கத்தின் போது தனிப்பட்ட தரவைப் பாதுகாப்பதற்கான தேவைகளின் ஒப்புதலின் பேரில்":
"வகை 1 அச்சுறுத்தல்கள் ஒரு தகவல் அமைப்பில் அடங்கும் என்றால் அது பொருத்தமானது தொடர்பான தற்போதைய அச்சுறுத்தல்கள் ஆவணமற்ற (அறிவிக்கப்படாத) திறன்களின் இருப்புடன் கணினி மென்பொருளில்தகவல் அமைப்பில் பயன்படுத்தப்படுகிறது.
2 வது வகையின் அச்சுறுத்தல்கள் ஒரு தகவல் அமைப்புக்கு பொருத்தமானவை, அது உட்பட தொடர்பான தற்போதைய அச்சுறுத்தல்கள் ஆவணமற்ற (அறிவிக்கப்படாத) திறன்களின் இருப்புடன் பயன்பாட்டு மென்பொருளில்தகவல் அமைப்பில் பயன்படுத்தப்படுகிறது.
3 வது வகையின் அச்சுறுத்தல்கள் ஒரு தகவல் அமைப்புக்கு பொருத்தமானதாக இருக்கும் தொடர்பில்லாத அச்சுறுத்தல்கள் ஆவணமற்ற (அறிவிக்கப்படாத) திறன்களின் இருப்புடன் கணினி மற்றும் பயன்பாட்டு மென்பொருளில்தகவல் அமைப்பில் பயன்படுத்தப்படுகிறது."
இந்த வரையறைகளில் முக்கிய விஷயம், ஆவணப்படுத்தப்படாத (அறிவிக்கப்படாத) திறன்களின் இருப்பு ஆகும். ஆவணப்படுத்தப்படாத மென்பொருள் திறன்கள் இல்லாததை உறுதிப்படுத்த (கிளவுட் விஷயத்தில், இது ஒரு ஹைப்பர்வைசர்), ரஷ்யாவின் FSTEC ஆல் சான்றிதழ் மேற்கொள்ளப்படுகிறது. மென்பொருளில் அத்தகைய திறன்கள் இல்லை என்று PD ஆபரேட்டர் ஏற்றுக்கொண்டால், அதனுடன் தொடர்புடைய அச்சுறுத்தல்கள் பொருத்தமற்றவை. 1 மற்றும் 2 வகைகளின் அச்சுறுத்தல்கள் PD ஆபரேட்டர்களால் மிகவும் அரிதாகவே தொடர்புடையதாகக் கருதப்படுகின்றன.
PD பாதுகாப்பின் அளவை நிர்ணயிப்பதோடு, பொது மேகக்கணிக்கான குறிப்பிட்ட தற்போதைய அச்சுறுத்தல்களையும் ஆபரேட்டர் தீர்மானிக்க வேண்டும், மேலும் PD பாதுகாப்பு மற்றும் தற்போதைய அச்சுறுத்தல்களின் அடையாளம் காணப்பட்ட நிலையின் அடிப்படையில், தேவையான நடவடிக்கைகள் மற்றும் அவற்றுக்கு எதிரான பாதுகாப்பு வழிமுறைகளை தீர்மானிக்க வேண்டும்.
FSTEC அனைத்து முக்கிய அச்சுறுத்தல்களையும் தெளிவாக பட்டியலிடுகிறது (அச்சுறுத்தல் தரவுத்தளம்). கிளவுட் உள்கட்டமைப்பு வழங்குநர்கள் மற்றும் மதிப்பீட்டாளர்கள் இந்த தரவுத்தளத்தை தங்கள் பணியில் பயன்படுத்துகின்றனர். அச்சுறுத்தல்களின் எடுத்துக்காட்டுகள் இங்கே:
: "அச்சுறுத்தல் என்பது மெய்நிகர் இயந்திரத்திற்கு வெளியே செயல்படும் தீங்கிழைக்கும் மென்பொருளால் ஒரு மெய்நிகர் இயந்திரத்திற்குள் இயங்கும் நிரல்களின் பயனர் தரவின் பாதுகாப்பை மீறும் சாத்தியமாகும்." இந்த அச்சுறுத்தல் ஹைப்பர்வைசர் மென்பொருளில் உள்ள பாதிப்புகளால் ஏற்படுகிறது, இது மெய்நிகர் இயந்திரத்தின் உள்ளே செயல்படும் நிரல்களுக்கான பயனர் தரவைச் சேமிக்கப் பயன்படுத்தப்படும் முகவரி இடம் மெய்நிகர் இயந்திரத்திற்கு வெளியே செயல்படும் தீங்கிழைக்கும் மென்பொருளால் அங்கீகரிக்கப்படாத அணுகலில் இருந்து தனிமைப்படுத்தப்படுவதை உறுதி செய்கிறது.
தீங்கிழைக்கும் நிரல் குறியீடானது, ஹைப்பர்வைசரின் பாதிப்புகளைப் பயன்படுத்துவதன் மூலம் மட்டுமல்லாமல், குறைந்த (ஹைப்பர்வைசருடன் தொடர்புடைய) நிலைகளில் இருந்து அத்தகைய தாக்கத்தை ஏற்படுத்துவதன் மூலமும், மெய்நிகர் இயந்திரத்தின் எல்லைகளை வெற்றிகரமாக மீறினால், இந்த அச்சுறுத்தலைச் செயல்படுத்துவது சாத்தியமாகும். அமைப்பு செயல்பாடு."
: "ஒரு கிளவுட் சேவை நுகர்வோரின் பாதுகாக்கப்பட்ட தகவலை மற்றொருவரிடமிருந்து அங்கீகரிக்கப்படாத அணுகல் சாத்தியத்தில் அச்சுறுத்தல் உள்ளது. கிளவுட் தொழில்நுட்பங்களின் தன்மை காரணமாக, கிளவுட் சேவை நுகர்வோர் அதே கிளவுட் உள்கட்டமைப்பைப் பகிர்ந்து கொள்ள வேண்டும் என்பதே இந்த அச்சுறுத்தலுக்குக் காரணம். கிளவுட் சேவை நுகர்வோருக்கு இடையே கிளவுட் உள்கட்டமைப்பு கூறுகளை பிரிக்கும்போதும், அவர்களின் வளங்களை தனிமைப்படுத்தும்போதும், ஒருவருக்கொருவர் தரவைப் பிரிக்கும்போதும் பிழைகள் ஏற்பட்டால் இந்த அச்சுறுத்தலை உணர முடியும்.
ஒரு ஹைப்பர்வைசரின் உதவியுடன் மட்டுமே இந்த அச்சுறுத்தல்களுக்கு எதிராக நீங்கள் பாதுகாக்க முடியும், ஏனெனில் இது மெய்நிகர் வளங்களை நிர்வகிக்கும் ஒன்றாகும். எனவே, ஹைப்பர்வைசரை ஒரு பாதுகாப்பு வழிமுறையாகக் கருத வேண்டும்.
மற்றும் ஏற்ப பிப்ரவரி 18, 2013 தேதியிட்ட, ஹைப்பர்வைசர் நிலை 4 இல் NDV அல்லாததாக சான்றளிக்கப்பட வேண்டும், இல்லையெனில் நிலை 1 மற்றும் 2 தனிப்பட்ட தரவைப் பயன்படுத்துவது சட்டவிரோதமானது ("பிரிவு 12. ... தனிப்பட்ட தரவுப் பாதுகாப்பின் நிலைகள் 1 மற்றும் 2 ஐ உறுதிப்படுத்தவும், அத்துடன் 3 வகை 2 அச்சுறுத்தல்கள் நடப்பு என வகைப்படுத்தப்படும் தகவல் அமைப்புகளில் தனிப்பட்ட தரவுப் பாதுகாப்பின் நிலை 4 ஐ உறுதிப்படுத்தவும், தகவல் பாதுகாப்புக் கருவிகள் பயன்படுத்தப்படுகின்றன. அறிவிக்கப்படாத திறன்கள் இல்லாத நிலையில் குறைந்தபட்சம் XNUMX நிலை கட்டுப்பாட்டின் படி சோதிக்கப்பட்டது").
ரஷ்யாவில் உருவாக்கப்பட்ட ஒரே ஒரு ஹைப்பர்வைசர், NDV-4 என்ற சான்றிதழின் தேவையான அளவைக் கொண்டுள்ளது. . லேசாகச் சொல்வதானால், மிகவும் பிரபலமான தீர்வு அல்ல. வணிக மேகங்கள், ஒரு விதியாக, VMware vSphere, KVM, Microsoft Hyper-V ஆகியவற்றின் அடிப்படையில் கட்டமைக்கப்படுகின்றன. இந்த தயாரிப்புகள் எதுவும் NDV-4 சான்றிதழ் பெற்றவை அல்ல. ஏன்? உற்பத்தியாளர்களுக்கு அத்தகைய சான்றிதழைப் பெறுவது இன்னும் பொருளாதார ரீதியாக நியாயப்படுத்தப்படவில்லை.
பொது மேகக்கணியில் நிலை 1 மற்றும் 2 தனிப்பட்ட தரவுகளுக்கு எஞ்சியிருப்பது Horizon BC ஆகும். வருத்தம் ஆனால் உண்மை.
எல்லாம் (எங்கள் கருத்து) உண்மையில் எவ்வாறு செயல்படுகிறது
முதல் பார்வையில், எல்லாம் மிகவும் கண்டிப்பானது: NDV-4 இன் படி சான்றளிக்கப்பட்ட ஹைப்பர்வைசரின் நிலையான பாதுகாப்பு வழிமுறைகளை சரியாக உள்ளமைப்பதன் மூலம் இந்த அச்சுறுத்தல்கள் அகற்றப்பட வேண்டும். ஆனால் ஒரு ஓட்டை உள்ளது. FSTEC ஆணை எண். 21ன் படி ("பிரிவு 2 தனிப்பட்ட தரவுத் தகவல் அமைப்பில் (இனிமேல் தகவல் அமைப்பு என குறிப்பிடப்படும்) செயலாக்கப்படும்போது தனிப்பட்ட தரவின் பாதுகாப்பு, ஆபரேட்டரால் அல்லது ஆபரேட்டரின் சார்பாக தனிப்பட்ட தரவை செயலாக்கும் நபரால் உறுதி செய்யப்படுகிறது. இரஷ்ய கூட்டமைப்பு"), வழங்குநர்கள் சாத்தியமான அச்சுறுத்தல்களின் பொருத்தத்தை சுயாதீனமாக மதிப்பீடு செய்து அதற்கேற்ப பாதுகாப்பு நடவடிக்கைகளைத் தேர்வு செய்கிறார்கள். எனவே, நீங்கள் UBI.44 மற்றும் UBI.101 அச்சுறுத்தல்களை தற்போதையதாக ஏற்கவில்லை என்றால், NDV-4 இன் படி சான்றளிக்கப்பட்ட ஹைப்பர்வைசரைப் பயன்படுத்த வேண்டிய அவசியமில்லை, இது துல்லியமாக அவர்களுக்கு எதிராக பாதுகாப்பை வழங்க வேண்டும். தனிப்பட்ட தரவு பாதுகாப்பின் 1 மற்றும் 2 நிலைகளுடன் பொது மேகக்கணிக்கு இணங்குவதற்கான சான்றிதழைப் பெற இது போதுமானதாக இருக்கும், இது Roskomnadzor முழுமையாக திருப்தி அடையும்.
நிச்சயமாக, Roskomnadzor ஐத் தவிர, FSTEC ஒரு ஆய்வுடன் வரலாம் - மேலும் இந்த அமைப்பு தொழில்நுட்ப விஷயங்களில் மிகவும் கவனமாக உள்ளது. UBI.44 மற்றும் UBI.101 ஆகிய அச்சுறுத்தல்கள் ஏன் பொருத்தமற்றதாகக் கருதப்பட்டன என்பதில் அவள் ஆர்வமாக இருக்கலாம்? ஆனால் பொதுவாக FSTEC சில குறிப்பிடத்தக்க சம்பவங்கள் பற்றிய தகவலைப் பெறும்போது மட்டுமே ஆய்வு மேற்கொள்கிறது. இந்த வழக்கில், கூட்டாட்சி சேவை முதலில் தனிப்பட்ட தரவு ஆபரேட்டருக்கு வருகிறது - அதாவது கிளவுட் சேவைகளின் வாடிக்கையாளர். மோசமான நிலையில், ஆபரேட்டர் ஒரு சிறிய அபராதத்தைப் பெறுகிறார் - எடுத்துக்காட்டாக, ஆண்டின் தொடக்கத்தில் ட்விட்டருக்கு இதேபோன்ற வழக்கில் 5000 ரூபிள் ஆகும். பின்னர் FSTEC கிளவுட் சேவை வழங்குநருக்கு மேலும் செல்கிறது. ஒழுங்குமுறைத் தேவைகளுக்கு இணங்கத் தவறியதால் உரிமம் இல்லாமல் இருக்கலாம் - மேலும் இவை கிளவுட் வழங்குநருக்கும் அதன் வாடிக்கையாளர்களுக்கும் முற்றிலும் வேறுபட்ட அபாயங்கள். ஆனால், மீண்டும் சொல்கிறேன், FSTEC ஐச் சரிபார்க்க, உங்களுக்கு பொதுவாக தெளிவான காரணம் தேவை. எனவே கிளவுட் வழங்குநர்கள் ஆபத்துக்களை எடுக்க தயாராக உள்ளனர். முதல் தீவிர சம்பவம் வரை.
ஹைப்பர்வைசரில் vGate போன்ற செருகு நிரலைச் சேர்ப்பதன் மூலம் அனைத்து அச்சுறுத்தல்களையும் மூடுவது சாத்தியம் என்று நம்பும் "அதிக பொறுப்புள்ள" வழங்குநர்களின் குழுவும் உள்ளது. ஆனால் சில அச்சுறுத்தல்களுக்காக வாடிக்கையாளர்களிடையே விநியோகிக்கப்படும் மெய்நிகர் சூழலில் (உதாரணமாக, மேலே உள்ள UBI.101), NDV-4 இன் படி சான்றளிக்கப்பட்ட ஹைப்பர்வைசரின் மட்டத்தில் மட்டுமே பயனுள்ள பாதுகாப்பு பொறிமுறையை செயல்படுத்த முடியும். வளங்களை நிர்வகிப்பதற்கான ஹைப்பர்வைசரின் நிலையான செயல்பாடுகள் (குறிப்பாக, ரேம்) பாதிக்காது.
நாங்கள் எப்படி வேலை செய்கிறோம்
எங்களிடம் கிளவுட் பிரிவு FSTEC சான்றளிக்கப்பட்ட ஹைப்பர்வைசரில் செயல்படுத்தப்பட்டுள்ளது (ஆனால் NDV-4 க்கு சான்றிதழ் இல்லாமல்). இந்த பிரிவு சான்றளிக்கப்பட்டது, எனவே தனிப்பட்ட தரவை அதன் அடிப்படையில் கிளவுட்டில் சேமிக்க முடியும் 3 மற்றும் 4 நிலைகள் பாதுகாப்பு - அறிவிக்கப்படாத திறன்களுக்கு எதிரான பாதுகாப்பிற்கான தேவைகள் இங்கே கவனிக்கப்பட வேண்டியதில்லை. இங்கே, எங்கள் பாதுகாப்பான கிளவுட் பிரிவின் கட்டமைப்பு:
தனிப்பட்ட தரவுகளுக்கான அமைப்புகள் 1 மற்றும் 2 நிலைகள் பாதுகாப்பு நாங்கள் பிரத்யேக உபகரணங்களில் மட்டுமே செயல்படுத்துகிறோம். இந்த விஷயத்தில் மட்டும், எடுத்துக்காட்டாக, UBI.101 இன் அச்சுறுத்தல் உண்மையில் பொருந்தாது, ஏனெனில் ஒரு மெய்நிகர் சூழலால் ஒன்றிணைக்கப்படாத சர்வர் ரேக்குகள் ஒரே தரவு மையத்தில் அமைந்திருந்தாலும் ஒன்றையொன்று பாதிக்காது. இதுபோன்ற சந்தர்ப்பங்களில், நாங்கள் ஒரு பிரத்யேக உபகரணங்கள் வாடகை சேவையை வழங்குகிறோம் (இது ஒரு சேவையாக வன்பொருள் என்றும் அழைக்கப்படுகிறது).
உங்கள் தனிப்பட்ட தரவு அமைப்புக்கு எந்த அளவிலான பாதுகாப்பு தேவை என்பது உங்களுக்குத் தெரியாவிட்டால், அதை வகைப்படுத்தவும் நாங்கள் உதவுகிறோம்.
முடிவுக்கு
சில கிளவுட் ஆபரேட்டர்கள் வாடிக்கையாளர் தரவின் பாதுகாப்பு மற்றும் அவர்களின் சொந்த எதிர்காலம் ஆகிய இரண்டையும் பணயம் வைத்து ஆர்டரைப் பெற தயாராக இருப்பதாக எங்கள் சிறிய சந்தை ஆராய்ச்சி காட்டுகிறது. ஆனால் இந்த விஷயங்களில் நாங்கள் வேறு கொள்கையை கடைபிடிக்கிறோம், அதை சுருக்கமாக மேலே விவரித்தோம். கருத்துகளில் உங்கள் கேள்விகளுக்கு பதிலளிப்பதில் நாங்கள் மகிழ்ச்சியடைவோம்.
ஆதாரம்: www.habr.com