Контроль и аудит безопасности в облаке
При запуске приложения в облаке разные аспекты безопасности должны контролироваться разными сущностями. Например, на следующем рисунке (из Azure) показано разделение обязанностей по обеспечению безопасности между поставщиком и клиентом.
Рис. 13. Обязанности по безопасности в Azure (источник)
Для многих классов приложений требуются разные сертификаты инфраструктуры, процессов и безопасности. Большинство поставщиков облачных служб соответствуют большинству распространенных сертификатов и требований аудита, действующих в США и Европе.
Для разработки приложения, соответствующего этим требованиям, поставщики облачных служб и разработчики приложений должны применять минимальный набор элементов управления безопасностью, который мы рассмотрим далее. Как и в остальной части этого курса, мы рассматриваем элементы управления с точки зрения преимущественно IaaS. Очевидно, что повышая ставки, поставщик облачных служб должен обеспечивать безопасность ресурсов, за которые он отвечает.
В отношении облака IaaS в следующей таблице представлен обзор некоторых элементов управления безопасностью, которые должны быть реализованы обеими сторонами.
Домен | Обязанности поставщика облачных служб | Обязанности клиента |
---|---|---|
Управление удостоверениями и доступом | Поставщик облачных служб должен предоставлять клиентам сведения о том, кто использует эту службу. Для этого необходимо:
|
Используя службу проверки подлинности и контроля доступа, предоставляемую поставщиком облачных служб, клиенты должны:
|
Доступность и отказоустойчивость | Чтобы обеспечить устойчивость облака к сбоям, поставщики облачных служб должны иметь:
|
Клиент должен использовать избыточность, предоставляемую поставщиком облачных служб, следующим образом:
|
Управление исправлениями и конфигурацией |
|
|
Мониторинг и обнаружение | Проверка, не используются ли ресурсы клиента (преднамеренно или непреднамеренно) для противоправных действий, и принятие соответствующих мер в случае обнаружения таких действий. |
|
Защита данных |
|
|
Защита криптографических объектов |
|
|
Поставщики часто внедряют службы, которые упрощают для клиентов процесс реализации элементов управления безопасностью. Например, Azure предоставляет группы безопасности сети Azure, которые могут действовать как внешние сетевые брандмауэры.
Процесс проверки наличия этих элементов управления называется аудитом безопасности. Эти аудиты могут выполняться внутренним образом (путем привлечения технического консультанта) или внешним (с помощью сертифицированного агентства). Чтобы размещать конфиденциальную информацию в облаке, поставщик и клиент должны пройти эти аудиты.
Ссылки
- Mather, Tim et. al. (2009). Cloud security and privacy: an enterprise perspective on risks and compliance. O'Reilly Media
- Pucher, Alex et. al. (2012). A Survey on Cloud Provider Security Measures. University of California Santa Barbara