Бұлттық қызметтер және оған қатысты қауіпсіздік мәселелер
жүктеу/скачать 283,32 Kb.
|
|
Л.Н. Гумилев атындағы Еуразия ұлттық университеті БӨЖ
Орындаған: Асубай Ажар, СИБ 29/5
Астана 2022 Бұлттық қызметтер және оған қатысты қауіпсіздік мәселелер Қате конфигурация Бұлттық қауіпсіздік параметрлерін дұрыс конфигурациялау бұлтты деректердің ағып кетуінің негізгі себебі болып табылады. Көптеген ұйымдардың бұлттық қауіпсіздік күйін басқару стратегиялары бұлттық инфрақұрылымды қорғау үшін жеткіліксіз. Бұған бірнеше факторлар ықпал етеді. Бұлтты инфрақұрылым оңай пайдалануға және деректермен оңай бөлісуге мүмкіндік беретін етіп жасалған, бұл ұйымдарға тек уәкілетті тараптардың деректерге қол жеткізуін қиындатады. Сонымен қатар, бұлттық инфрақұрылымды пайдаланатын ұйымдарда олардың инфрақұрылымын толық көру және бақылау мүмкіндігі жоқ, яғни олар бұлттық орналастыруларды орнату және қауіпсіздікті қамтамасыз ету үшін бұлттық қызмет провайдері (CSP) ұсынатын қауіпсіздік бақылауларына сенуі керек. Көптеген ұйымдар бұлттық инфрақұрылымның қауіпсіздігін білмегендіктен және көп бұлтты орналастыруларды жиі пайдаланатындықтан-әрқайсысы жеткізушілер ұсынатын қауіпсіздікті бақылаудың әртүрлі жиынтығымен - дұрыс емес конфигурация немесе қауіпсіздікті қадағалау ұйымның бұлттық ресурстарын зиянкестерге оңай осал етуі мүмкін. Рұқсатсыз кіру Ұйымның жергілікті инфрақұрылымынан айырмашылығы, олардың бұлтты орналастырулары желінің периметрінен тыс және тікелей жалпыға қол жетімді интернеттен қол жетімді. Бұл қызметкерлер мен клиенттер үшін осы инфрақұрылымның қол жетімділігінің артықшылығы болғанымен, шабуылдаушыға ұйымның бұлттық ресурстарына рұқсатсыз қол жеткізуді жеңілдетеді. Дұрыс конфигурацияланбаған қауіпсіздік жүйесі немесе бұзылған тіркелгі деректері шабуылдаушыға ұйым білместен тікелей қол жеткізуге мүмкіндік береді. Қауіпсіз интерфейстер / API CSP көбінесе өз клиенттері үшін бірқатар қолданбалы бағдарламалау интерфейстерін (API) және интерфейстерді ұсынады. Тұтастай алғанда, бұл интерфейстер оларды CSP клиенттері үшін оңай пайдалану мақсатында жақсы құжатталған. Алайда, егер клиент бұлтты инфрақұрылым үшін интерфейстерді тиісті қорғауды қамтамасыз етпесе, бұл ықтимал проблемаларды тудырады. Клиентке арналған құжаттаманы киберқылмыскер құпия деректерге қол жеткізудің және оларды ұйымның бұлтты ортасынан сүзудің ықтимал әдістерін анықтау және пайдалану үшін де пайдалана алады. Есептік жазбаларды түсіру Көптеген адамдарда парольді қорғау өте әлсіз, соның ішінде парольдерді қайта пайдалану және әлсіз парольдерді пайдалану. Бұл мәселе фишингтік шабуылдар мен деректердің бұзылуының әсерін күшейтеді, өйткені ол бірнеше түрлі есептік жазбалар үшін бір ұрланған құпия сөзді пайдалануға мүмкіндік береді.Тіркелгілерді басып алу бұлтты қауіпсіздіктің маңызды мәселелерінің бірі болып табылады, өйткені ұйымдар негізгі бизнес функцияларын орындау үшін бұлттық инфрақұрылым мен қолданбаларға көбірек сүйенеді. Қызметкердің тіркелгі деректері бар шабуылдаушы құпия деректерге немесе мүмкіндіктерге қол жеткізе алады, ал клиенттің бұзылған тіркелгі деректері олардың онлайн тіркелгісін толық бақылауға мүмкіндік береді. Сонымен қатар, бұлтта ұйымдарға бұл қауіптерді анықтау және оларға жергілікті инфрақұрылым сияқты тиімді жауап беру мүмкіндігі жиі жетіспейді. Көрінудің болмауы Ұйымның бұлттық ресурстары корпоративтік желіден тыс орналасқан және компания иелік етпейтін инфрақұрылымда жұмыс істейді. Нәтижесінде көптеген дәстүрлі желінің көріну құралдары бұлтты орталар үшін тиімсіз, ал кейбір ұйымдарда бұлтқа бағытталған қауіпсіздік құралдары жоқ. Бұл ұйымның бұлттық ресурстарды бақылау және оларды шабуылдардан қорғау мүмкіндігін шектеуі мүмкін. Сыртқы деректер алмасу Бұлт деректер алмасуды жеңілдету үшін жасалған. Көптеген бұлттар қызметкерді электрондық пошта арқылы нақты шақыруға немесе URL мекенжайы бар кез келген адамға ортақ ресурсқа қол жеткізуге мүмкіндік беретін сілтемені бөлісуге мүмкіндік береді. Мұндай қарапайым деректермен бөлісу артықшылық болғанымен, бұлтты қауіпсіздіктің маңызды мәселесі болуы мүмкін. Сілтемеге негізделген бөлісуді пайдалану танымал нұсқа болып табылады, өйткені ол әрбір болжамды мүшені анық шақырудан оңайырақ - ортақ ресурсқа қол жеткізуді бақылауды қиындатады. Ортақ сілтемені басқа біреуге жіберуге, кибершабуыл кезінде ұрлауға немесе киберқылмыскер болжауға болады, бұл ортақ ресурсқа рұқсатсыз қол жеткізуге мүмкіндік береді. Сонымен қатар, сілтемеге негізделген бөлісу тек бір ортақ сілтеме алушысына кіруді қайтарып алу мүмкін емес етеді. Зиянды инсайдерлер Ішкі қауіптер кез келген ұйым үшін маңызды қауіпсіздік мәселесі болып табылады. Зиянды инсайдер ұйымның желісіне және ондағы кейбір құпия ресурстарға рұқсаты бар. Қол жетімділіктің осы деңгейін алуға тырысу-бұл шабуылдаушылардың көпшілігіне олардың мақсатын ашатын нәрсе, бұл дайындықсыз ұйымға зиянды инсайдерді табуды қиындатады. Бұлтта инсайдерлік шабуылдаушыны табу одан да қиын. Бұлтқа орналастырылған кезде компаниялар өздерінің негізгі инфрақұрылымын бақылауды жоғалтады, бұл көптеген дәстүрлі қауіпсіздік шешімдерін тиімсіз етеді. Бұлтты инфрақұрылымның жалпыға қол жетімді интернеттен тікелей қол жетімді екендігімен және көбінесе қауіпсіздік параметрлерінен зардап шегетіндігімен қатар, инсайдерлік шабуылдаушыларды анықтауды қиындатады. Кибершабуылдар Киберқылмыс-Бұл бизнес, ал киберқылмыскерлер шабуылдарының күтілетін рентабельділігіне қарай өз мақсаттарын таңдайды. Бұлтты инфрақұрылым тікелей жалпыға қол жетімді интернеттен қол жетімді, көбінесе дұрыс қорғалмаған және көптеген құпия және құнды деректерді қамтиды. Сонымен қатар, бұлтты көптеген әртүрлі компаниялар пайдаланады, яғни сәтті шабуыл сәттіліктің жоғары ықтималдығымен бірнеше рет қайталануы мүмкін. Нәтижесінде ұйымдардың бұлтты орналастырулары кибершабуылдардың жалпы мақсаты болып табылады. Қызмет көрсетуден бас тарту шабуылдары Бұлт көптеген ұйымдардың бизнес жүргізу қабілеті үшін өте маңызды. Олар бұлтты бизнес үшін маңызды деректерді сақтау және тұтынушыларға бағытталған маңызды ішкі қолданбалар мен қолданбаларды іске қосу үшін пайдаланады. Бұл бұлттық инфрақұрылымға сәтті қызмет көрсетуден бас тарту (DoS) шабуылы бірқатар әртүрлі компанияларға үлкен әсер етуі мүмкін дегенді білдіреді. Нәтижесінде, шабуылдаушы шабуылды тоқтату үшін төлемді талап ететін DoS шабуылдары ұйымның бұлттық ресурстарына айтарлықтай қауіп төндіреді. 2021 жылғы бұлттық қауіпсіздіктің негізгі мәселелері Бұлттық қауіпсіздік туралы есепте ұйымдарға бұлттық орталарға қатысты негізгі қауіпсіздік мәселелері туралы сұрақ қойылды. Көптеген ұйымдар құпия деректер мен маңызды қолданбаларды бұлтқа көшіруге шешім қабылдағанымен, оларды сол жерде қалай қорғауға болатыны туралы алаңдаушылық көп. Деректердің жоғалуы/бұзылуы Бұлтты орталар оларда сақталған деректерді оңай бөлісуге мүмкіндік береді. Бұл орталар тікелей жалпыға қол жетімді интернеттен қол жетімді және басқа тараптармен тікелей электрондық пошта шақырулары арқылы немесе жалпыға қол жетімді деректер сілтемесін ұсыну арқылы деректерді оңай бөлісу мүмкіндігін қамтиды. Бұлтта бірге жұмыс істеудің басты артықшылығы және кілті болып табылатын бұлтта деректерді бөлісудің қарапайымдылығы деректердің жоғалуы немесе бұзылуы туралы үлкен алаңдаушылық тудырады. Шын мәнінде, ұйымдардың 69% - ы бұлтты қауіпсіздіктің ең үлкен проблемасы ретінде көрсетеді. Жалпыға қол жетімді сілтемелерді қолдана отырып бөлісу немесе бұлтты жадқа жалпыға қол жетімді мәртебе беру оны сілтеме туралы білетін кез-келген адамға қол жетімді етеді және бұл қорғалмаған бұлтты орналастыруларды интернеттен іздеуге арналған арнайы құралдар бар. Деректердің құпиялылығы / құпиялылық Деректердің құпиялылығы көптеген ұйымдар үшін маңызды мәселе болып табылады. ЕО-ның деректерді қорғаудың жалпы ережелері (GDPR), медициналық сақтандырудың портативтілігі мен қол жетімділігі туралы Заң (HIPAA), төлем карталары индустриясының деректер қауіпсіздігі стандарты (PCI DSS) және басқалары сияқты деректерді қорғау ережелері клиенттердің деректерін қорғауды қамтамасыз етеді және қауіпсіздік ақауларына қатаң айыппұл салады. Сонымен қатар, ұйымдарда бәсекелестік артықшылықты сақтау үшін қажет ішкі деректердің үлкен көлемі бар. Бұл деректерді бұлтқа орналастырудың артықшылықтары бар, бірақ сонымен бірге ұйымдардың 66% - ы үшін маңызды қауіпсіздік мәселелерін тудырады. Көптеген ұйымдар бұлтты есептеулерді енгізді, бірақ олардың және олардың қызметкерлерінің оларды қауіпсіз пайдалануын қамтамасыз ету үшін білімі жоқ. Нәтижесінде құпия деректер ашылу қаупіне ұшырайды, бұл Бұлтты деректердің ағып кетуінің көптігінен көрінеді. Тіркелгі деректерін кездейсоқ ашу Фишерлер әдетте бұлттық қолданбалар мен орталарды фишингтік шабуылдары үшін сылтау ретінде пайдаланады. Бұлтқа негізделген электрондық поштаны (G-Suite, Microsoft 365 және т. б.) және құжаттарды бөлісу қызметтерін (Google Drive, Dropbox, OneDrive) пайдаланудың артуымен қызметкерлер белгілі бір құжатқа немесе веб-сайтқа кірмес бұрын тіркелгі тіркелгі деректерін растау сұралуы мүмкін сілтемелері бар электрондық хаттарды алуға дағдыланған. Бұл киберқылмыскерлерге бұлттық қызметтер үшін қызметкердің тіркелгі деректерін оңай білуге мүмкіндік береді. Нәтижесінде, бұлтқа негізделген тіркелгі деректерін кездейсоқ ашу ұйымдардың 44% - ы үшін маңызды мәселе болып табылады, өйткені бұл олардың бұлттық деректері мен басқа ресурстарының құпиялылығы мен қауіпсіздігіне қауіп төндіруі мүмкін. Оқиғаға жауап беру Көптеген ұйымдарда ішкі киберқауіпсіздік оқиғаларына жауап беру стратегиялары бар. Ұйым өзінің барлық ішкі желілік инфрақұрылымына иелік ететіндіктен және қауіпсіздік қызметкерлері орнында болғандықтан, оқиғаны бұғаттауға болады. Сонымен қатар, олардың инфрақұрылымына иелік ету компанияның оқиғаның ауқымын анықтау және тиісті жою әрекеттерін орындау үшін қажетті көрініске ие болуы мүмкін дегенді білдіреді. Бұлтты инфрақұрылыммен компания өзінің инфрақұрылымының ішінара көрінуіне және оған меншік құқығына ие, бұл дәстүрлі процестер мен қауіпсіздік құралдарын тиімсіз етеді. Нәтижесінде, компаниялардың 44% - ы бұлттағы оқиғаларға тиімді жауап беру қабілетіне алаңдайды. Заңнамаға және нормативтік актілерге сәйкестігі PCI DSS және HIPAA сияқты деректерді қорғау ережелері ұйымдардан қорғалған ақпаратқа (несие картасы деректері, пациенттердің медициналық жазбалары және т.б.) қол жеткізуді шектейтінін көрсетуді талап етеді. Бұл тек осы деректерге қол жеткізуге заңды қажеттілігі бар қызметкерлер үшін қол жетімді ұйым желісінің физикалық немесе логикалық оқшауланған бөлігін құруды қажет етуі мүмкін. Осы және осыған ұқсас ережелермен қорғалған деректерді бұлтқа жылжытқанда, сәйкестікке қол жеткізу және көрсету қиынырақ болуы мүмкін. Бұлтқа орналастырылған кезде ұйымдар өздерінің инфрақұрылымының кейбір деңгейлеріне ғана қол жеткізе алады және оларды бақылайды. Нәтижесінде, ұйымдардың 42% - ы заңнама мен ережелерді сақтауды бұлттық қауіпсіздіктің маңызды мәселесі деп санайды және сәйкестікті қамтамасыз ету үшін арнайы бұлттық шешімдерді қажет етеді. Деректердің егемендігі/тұрғылықты жері / бақылау Бұлтты провайдерлердің көпшілігінде бірнеше географиялық бөлінген деректер орталықтары бар. Бұл бұлттық ресурстардың қол жетімділігі мен өнімділігін жақсартуға көмектеседі және CSP үшін олардың табиғи апаттар, электр қуатының үзілуі және т. б. сияқты бизнесті бұзатын оқиғалар кезінде қызмет көрсету деңгейі туралы келісімдерді қолдауға қабілетті болуын қамтамасыз етуді жеңілдетеді. Бұлтта өз деректерін сақтайтын ұйымдар көбінесе олардың деректері CSP деректер орталығының массивінде қайда сақталатынын білмейді. Бұл ұйымдардың 37% - ы үшін деректердің егемендігіне, тұрғылықты жеріне және бақылауына қатысты үлкен алаңдаушылық тудырады. ЕО азаматтарының деректерін жіберуді шектейтін GDPR сияқты деректерді қорғау ережелерін ескере отырып, бекітілген аймақтардан тыс деректер орталықтары бар бұлттық платформаны пайдалану ұйымды сәйкессіздікке әкелуі мүмкін. Сонымен қатар, әртүрлі юрисдикцияларда құқық қорғау және Ұлттық қауіпсіздік үшін деректерге қол жеткізуге қатысты әртүрлі заңдар бар, бұл деректердің құпиялылығына және ұйым тұтынушыларының қауіпсіздігіне әсер етуі мүмкін. Бұлтты қорғау Бұлт ұйымдарға бірқатар артықшылықтар береді; Дегенмен, ол өзінің қауіп-қатерлерімен және қауіпсіздік мәселелерімен бірге келеді. Бұлтты инфрақұрылым жергілікті деректер орталығынан айтарлықтай ерекшеленеді және дәстүрлі қауіпсіздік құралдары мен стратегиялары оны тиімді қорғауды қамтамасыз ете бермейді. Жетекші бұлттық қауіпсіздік мәселелері мен қауіптері туралы қосымша ақпарат алу үшін бұлттық қауіпсіздік есебін жүктеп алыңыз. жүктеу/скачать 283,32 Kb. Достарыңызбен бөлісу:
|