The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Институт NIST выпустил рекомендации по безопасности облачных окружений и мониторингу безопасности

25.01.2012 11:19

Американский институт стандартов и технологий NIST (National Institute of Standards and Technology) предоставил рекомендации по управлению безопасностью и приватностью публичных облачных вычислений (cloud computing). Документ "NIST Special Publication 800-144" содержит обзор угроз безопасности и приватности в области облачных вычислений, а также рекомендации для организаций, использующих удаленные приложения, инфраструктуру и публичные cloud-среды для хранения и обработки своих данных.

Основные акценты руководства сделаны на вопросы планирования безопасности облачных решений перед их внедрением; понимание структуры предлагаемой провайдерами cloud-среды; уверенности, что облачные ресурсы и приложения соответствуют требования корпоративной безопасности. Документ предназначен широкому кругу профильных специалистов, начиная от менеджеров и заканчивая непосредственными исполнителями технических решений.

Также выпущен предварительный вариант сборника руководств по непрерывному мониторингу (continuous monitoring) информационной безопасности организации, включающего руководство по технической реализации расширений программной среды CAESARS - "Continuous Asset Evaluation, Situational Awareness, and Risk Scoring", технические спецификации модели непрерывного мониторинга (NISTIR 7799), а также документ, описывающий аспекты практического применения continuous monitoring (NISTIR 7800).

  1. Главная ссылка к новости (http://www.nist.gov/itl/csd/cl...)
Автор новости: write2net
Тип: английский / Справочная информация
Короткая ссылка: https://opennet.ru/32891-security
Ключевые слова: security, cloud, monitoring, nist
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:59, 25/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хоть мониторь, хоть нет. Тот факт, что физический доступ к носителям дает полный доступ к хранящимся на них данным, никого не волнует. "Мамой клянемся, что ваши данные будут всегда доступны и неприкосновенны!". Ассандж одобряе...
     
     
  • 2.2, rain87 (?), 14:44, 25/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    шифрование спасёт отца русской демократии
     
     
  • 3.3, Аноним (-), 22:13, 25/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какая разница? Физический доступ к памяти. Сними дамп памяти VM'ки и ищи интересненькое.
     
     
  • 4.12, Аноним (-), 14:19, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая разница? Физический доступ к памяти. Сними дамп памяти VM'ки и ищи
    > интересненькое.

    Можно поизвращаться, как например тот AES, с ключами в регистрах проца и расшифровка мелкими кусочками и склероз. Тогда хаксоры подзадолбаются и планка будет основательно поднята. Хотя особо-крутые хаксоры все-таки справятся.

     
     
  • 5.16, rain87 (?), 14:35, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно поизвращаться, как например тот AES, с ключами в регистрах проца и
    > расшифровка мелкими кусочками и склероз. Тогда хаксоры подзадолбаются и планка будет
    > основательно поднята. Хотя особо-крутые хаксоры все-таки справятся.

    это уже всё из серии "security through obscurity". конечно это всё сильно усложнит взлом, но теоретически он по прежнему будет возможен

     
  • 3.4, Аноним (-), 00:06, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    шифровать? что шифровать? провайдер имеет полный доступ к серверу. Хранится ключ локально - он к нему уже имеет доступ. Берется из внешнего источника - ключ перехватывается с самого сервера клиента. Вводится руками? - тот же перехват
    Ключевых рекомендаций документа две:
    1. построение решений в государственных учереждениях должно выполняться по принципу облачных решений. Именно по принципу, а не на базе предоставляемых кем-то
    2. использовать чужие облака можно при соблюдении ряда требований аудита систем, обеспечивающих защиту данных и предоставление сервиса. Что проще говоря означает одно: аудит инфраструктуры провайдера облачных сервисов, чего не будет ни по воле провайдера, ни с точки зрения здравого смысла: если организация уже обладает специалистом, который в состоянии выполнить такой уровень аудита, то зачем ему внешнее облако, которое изначально и позиционируется как средства аутсорса управления?
     
     
  • 4.5, Crazy Alex (ok), 04:32, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе аудит тоже может быть на аутсорсе - не постоянно же он будет производиться...
     
  • 4.6, rain87 (?), 12:37, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    само собой, шифрование достаточным является только тогда, когда расшифровка данных производится не в облаке, а на стороне клиента. в противном случае, естественно, хозяин облака всегда может достать данные. но даже если расшифровка данных будет производится в облаке - шифрование данных на физическом облаке защитит от банальной кражи физических носителей (хотя такое шифрование это уже скорей обязанность хозяина облака)
     
     
  • 5.7, Аноним (-), 13:08, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Сюда посмотри:

    http://www.nvidia.ru/page/tesla_computing_solutions.html

    и скажи - чего-чего там спасет от расшифровки? При достаточной цене вопроса?

     
     
  • 6.9, Аноним (-), 14:05, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > http://www.nvidia.ru/page/tesla_computing_solutions.html
    > и скажи - чего-чего там спасет от расшифровки? При достаточной цене вопроса?

    Ну расшифруй для начала чтоли 256-битный AES? Даже на GPU. В то что если сильно поднапрячься, можно на квантовых компьютерах 128-битный ключ раздолбать, я еще кой-как поверю. В то что вы сломаете 256 битный при _любой_ цене вопроса _вычислениями_ - а вот фиг. Правда, при достаточной цене вопроса недруг может просто прислать команду аналитиков с терморектальными криптоанализаторами. Это, конечно, паливно, зато эффективность метода очень высока: вы сами расскажете какой был ключ, особенно если заранее не предусмотрели такое.

     
  • 6.11, Аноним (-), 14:17, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > http://www.nvidia.ru/page/tesla_computing_solutions.html

    Меньше читайте маркетинговый булшит, больше практикуйте. Если уж на то пошло, амд делает нвидию на таких вычислениях в разы. Эта ваша тесла за килобаксы будет считать как стодолларовый 5770 какой-нибудь. А 5970/6990 просто шутя разорвут любую теслу на британский флаг, сделав ее в несколько раз, при том что существенно дешевле. У нвидии архитектура не очень подходит для массового параллельного брутфорса. В отличие от амд.

     
  • 6.13, rain87 (?), 14:27, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Сюда посмотри:
    > http://www.nvidia.ru/page/tesla_computing_solutions.html
    > и скажи - чего-чего там спасет от расшифровки? При достаточной цене вопроса?

    ты серьёзно веришь, что повсеместно используемый алгоритм шифрования можно просто расшифровать на бытовом железе из магазина? и всё дело в "цене вопроса"?

     
  • 5.10, Аноним (-), 14:07, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > (хотя такое шифрование это уже скорей обязанность хозяина облака)

    Ага, доверять хозяину облака шифрование? А давайте вы лучше мне доверите ваши логины, пароли и прочие пинкоды и номера ваших кредитных карт? :)

     
     
  • 6.14, rain87 (?), 14:30, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, доверять хозяину облака шифрование? А давайте вы лучше мне доверите ваши
    > логины, пароли и прочие пинкоды и номера ваших кредитных карт? :)

    да нет, я не говорю ему доверять (по крайней мере конфиденциальную информацию). просто это, имхо, базовое требование к поставщику облачных услуг :)

     
  • 3.8, Аноним (-), 14:02, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > шифрование спасёт отца русской демократии

    А если данные просто сотрут, например? А я закладывался на их доступность? В общем используя чужие мощности следует осознавать что mission critical задачи доверять какому-то облаку где-то там, без резервирования, бэкапов и возможности оперативной переброски - весьма чревато.

    Example: пришло FBI (да, то которое по идее хомяков защищать должно) и грохнуло мегааплоад рейдерскими методами. Толпы хомяков в афиге - ой, мои фоточки! Вай, там был мой рефератик! А я свой бэкап туда залил! Верните  мне мои файлы!!!

     
     
  • 4.15, rain87 (?), 14:33, 26/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Example: пришло FBI (да, то которое по идее хомяков защищать должно) и
    > грохнуло мегааплоад рейдерскими методами

    так это ж исключительно ради хомячков, а вы что подумали? :)
    про шифрование я говорил, отвечая на
    >Тот факт, что физический доступ к носителям дает полный доступ к хранящимся на них данным, никого не волнует. "Мамой клянемся, что ваши данные будут всегда доступны и неприкосновенны!".

    надёжность облака, само собой, нельзя считать абсолютно 100%. вон, амазон серьёзная какая контора, а рухнуло их облако в своё время как карточный домик. безо всякого фби

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру