O‘zbekiston respublikаsi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali
Yüklə 12,7 Mb. Pdf görüntüsü
|
|
Shifrlash -
ma’lumotlarni himoyalashning eng samarali usullaridan biri. Ma’lumotlardan foydalanishni taqdim etuvchi provayder mijozning ma’lumotlarni ishlash markazida saqlanuvchi axborotini shifrlashi hamda zaruriyat bo’lmasa qaytmaydigan qilib yo’q qilishi lozim. Ma’lumotlarni shifrlashda doimo kalitlar xususida masala paydo bo’ladi. Ularni bulutli serverda saqlash maqsadga muvofiq hisoblanmaydi, chunki bulutli serverlardan yoki shablonlardan foydalanish huquqiga ega sub’ekt kalitdan, demak deshifrlangan ma’lumotlardan foydalanishi mumkin. Kalitni fizik kiritish so’rov bilan almashtiriladi. So’rovni bulutli server tashqi manbaga - kalitlarni boshqarish serveriga (Key Management Server, KMS) jo’natadi. Foydalanishni chegaralash qoidalari Foydalanish dispetcheri Foydalanish sub’ekti Foydalanish ob’ekti Ro‘yxatga olish jurnali 95 Bunday yechimning xavfsizligini ta’minlashda hal qiluvchi omil sifatida bulutli serverning va boshqarish serverining, agar ikkalasi bulutli serverlarning bitta provayderida saqlangan bo’lsa, alohida ekspluatatsiyasini ko’rsatish mumkin (10.5-rasm). Uzatishda ma’lumotlarni himoyalash. Ma’lumotlarni xavfsiz ishlashda ularni shifrlangan holda uzatish majburiy shart hisoblanadi. Ommaviy bulutda ma’lumotlarni himoyalash maqsadida virtual xususiy tarmoq (VPN) tunneli ishlatiladi. Ommaviy bulutli xizmatlarni olish uchun tunnel mijoz bilan serverni ulaydi. VPN-tunnel xavfsiz ulanishni ta’minlaydi va turli bulutli resurslardan foydalanish uchun yagona ism va parolni ishlatishga imkon beradi. Ommaviy bulutlarda VPN-ulanishlar ma’lumotlarni uzatish vositasi sifatida Internet kabi umumfoydalanuvchi resurslarni ishlatadi. Jarayon Secure Sockets Laer (SSL) protokoli bazasida ikkita kalit yordamida shifrlashli foydalanish rejimiga asoslangan. SSL va VPN protokollarining aksariyati opsiyalar sifatida autentifikatsiya uchun raqamli sertifikatlarni ishlatishni madadlaydi. Raqamli sertifikatlar yordamida ma’lumotlarni uzatmasdan oldin, ikkinchi tomonning identifikatsiya axboroti tekshiriladi. Bunday raqamli sertifikatlar shifrlangan ko’rinishda virtual qat’iy disklarda saqlanishi mumkin va ular faqat kalitlarni boshqaruvchi server identifikatsiya axboroti va tizim yaxlitligini tekshirganidan so’ng, ishlatiladi. Demak, bunday o’zaro bog’liqlik zanjiri ma’lumotlarni faqat dastlabki ko’rikdan o’tgan bulutli serverlarga uzatishga imkon beradi. Uzatishda shifrlangan ma’lumotlardan faqat autentifikatsiyadan so’ng foydalanish mumkin. Autentifikatsiya. Yuqori ishonchlikni ta’minlash uchun ko’pincha tokenlardan va sertifikatlardan foydalaniladi. Bir martali parollar texnologiyasi (One Time password, OTP) autentifikatsiyaning eng sodda va yetarlicha ishonchli usuli hisoblanadi. Bunday parollar, SMS orqali foydalanuvchiga jo’natish bilan, maxsus dasturlar yoki qo’shimcha qurilmalar yoki servislar yordamida generatsiyalanishi mumkin. Bulutli infrastrukturaning masshtablanishining kattaligi va geografik taqsimlanishining kengligi bir martali parollarni olishda birinchi o’ringa, hozirda har kimda mavjud, gadjetlardan foydalanishning paydo bo’lishiga sabab bo’ldi. Avtorizatsiyada provayderning identifikatsiya tizimi bilan o’zaro ta’sirning shaffofligi uchun LDAP (Lightweight Directory Access Protocol) protokolidan va SAML (Security Assertion Markup Language) dasturlash tilidan foydalanish tavsiya etiladi. 96 10.5-rasm. Foydalanuvchining, kalitlarni boshqarish serverining va bulutli serverning o’zaro ta’sir sxemasi. (RDP/SSh - server bilan Remote Desktop Protocol (RDP) protokoli va SSh shlyuzi orqali ulanish; LDAP (Lightweight Directory Access Protocol) - kataloglardan foydalanishning "yengillashtirilgan" protokoli. Foydalanuvchilarni izolyasiyalash. Ba’zi provayderlar barcha mijozlarning ma’lumotlarini yagona dasturiy muhitga joylashtiradilar va undagi kodni o’zgartirish hisobiga buyurtmachilarning ma’lumotlarini bir-biridan ajratishga urinadilar. Bunday yondashish bemulohaza va ishonchsiz. Birinchidan, niyati buzuq nostandart koddagi raxnani topishi mumkin. Ushbu raxna niyati buzuqqa u ko’rishi mumkin bo’lmagan ma’lumotlardan foydalanishiga imkon beradi. Ikkinchidan, koddagi xatolik natijasida bir mijoz ikkinchi mijozning ma’lumotlarini tasodifan "ko’rishi" mumkin. Shu sababli, foydalanuvchilar ma’lumotlarini chegaralashda turli virtual mashinalarni va virtual tarmoqlarni ishlatish eng mulohazali qadam hisoblanadi. Xulosa sifatida aytish lozimki, xavfsizlik har doim ham faqat himoya yordamida ta’minlanmaydi. Xavfsizlikka ob’ektlarning ishlashi va o’zaro xarakatiga mos qoidalari, xodimlarning yuqori kasbiy tayyorligi, texnikaning buzilmasdan ishlashi, axborot xavfsizligi ob’ektlari ishlashini ta’minlashning turli hillarining ishonchligi orqali erishish mumkin. Xavfsizlikni boshqarish/ro‘yxatga olish serveri SIEM Bulutli server B Bulutli server Bulutli server Bulutli server A Kalitlarni boshqarish Foydalanish vositachisi AD/LDAP MST MST Bulutli broker Aktiv bulutli server Ro‘yxatga olinadigan ma’lumotlar/ Xavfsizlik qoidalari Ruxsat Foydalanuvchi/ A xizmat Foydalanuvchi/ B xizmat Kalit so‘rovi/kalit bilan javob RDP/SSH Foydalanuvchi " Bulutli" xizmatlar ta’minot-chisi (CSP) Ma’lumotlarni saqlash tizimi (MST) |