Методы управления информационной безопасностью организации на основе анализа изменений облачных сред Чемёркин Юрий Сергеевич

Содержание к диссертации

Введение

ГЛАВА 1. Актуальные задачи управления безопасностью облачных сред 17

1.1. Задачи обеспечения защищённости облачных сред 17

1.2. Нарушения безопасности в облачных средах 19

1.3. Архитектура системы безопасности облачных сред и ключевое место системы управления доступом ОСУД в ней

1.3.1. Средства и механизмы распределённого хранения данных 24

1.3.2. Средства и механизмы идентификации и аутентификации 25

1.3.3. Средства и механизмы шифрования данных 27

1.3.4. Средства и механизмы управления правами доступа (разрешениями) и политиками доступа ОСУД 27

1.3.5. Средства и механизмы мониторинга (регистрации) событий 28

1.4. Меры обеспечения информационной безопасности 29

1.4.1. Управление безопасностью облачных сред в рамках существующих нормативных документов (стандартов) 29

1.4.2. Основные задачи разработки политик управления доступом для облачных сред

1.5. Постановка задачи управления безопасностью облачными средами 34

1.6. Выводы по главе 38

ГЛАВА 2. Разработка подходов и моделей управления безопасностью облачных сред 39

2.1. Особенности нормативной базы облачных сред 39

2.1.1. Понятия стандартов и подход к обеспечению безопасности 39

2.1.2. Структура требований безопасности существующих нормативных документов 43

2.1.3. Формирование требований безопасности существующих нормативных документов 48

2.1.4. Взаимосвязь с другими стандартами

2.2. Разработка способа комплексирования подходов управления безопасностью облачными средами 51

2.3. Разработка моделей управления безопасности облачными средами

2.3.1. Разработка нормативной модели безопасности облачных сред 54

2.3.2. Построение сервисо-зависимых моделей безопасности облачных сред 57

2.3.3. Разработка конфигурационной модели безопасности ОСУД

2.4. Разработка обобщённой модели управления безопасностью облачных сред 76

2.5. Выводы по главе 79

ГЛАВА 3. Методы оценки выполнения мер безопасности и эффективности их реализации 81

3.1. Методология осуществления контроля и управления облачной системой управления доступом 81

3.2. Оценка уровня защищённости на основе модели комплекса механизмов защиты

3.2.1. Общий подход к оценке уровня защищённости СОВ 85

3.2.2. Выбор нормативного документа в рамках функционального подхода 86

3.2.3. Оценка уровня защищённости в рамках нормативного подхода 89

3.2.4. Оценка уровня защищённости в рамках конфигурационного подхода

3.3. Оценка сложности приведения облачных сред к приемлемому уровню защищённости 103

3.4. Метод выявления нарушений безопасности облачных сред

3.4.1. Методы оценки эффективности реализации мер и оценка уровня риска 112

3.4.2. Семантические оценки уровня риска 115

3.4.3. Алгоритм проверки выполнения мер безопасности и принятия решений о пересмотре состава мер безопасности в отношении облачных сред 117

3.5. Выводы по главе 120

ГЛАВА 4. Методики проверки выполнения мер безопасности облачных Сред 125

4.1. Описание методик проверки выполнения мер безопасности 125

4.1.1. Методика проверки выполнения мер безопасности в рамках начальной конфигурации параметров СОВ 125

4.1.2. Методика проверки выполнения мер безопасности в рамках новых функциональных возможностей СОВ 128

4.1.3. Методика проверки выполнения мер безопасности в рамках новых требований, предъявляемых к СОВ 130

4.1.4. Методика проверки выполнения мер безопасностив рамках реконфигурации параметров безопасности (разрешений), отвечающих предъявляемым к СОВ требованиям 131

4.2. Примеры применения методик проверки выполнения требований 132

4.2.1. Отличительные особенности ОСУД в IaaS модели СОВ на примере Amazon Web Services (AWS) 133

4.2.2. Пример применения методики проверки выполнения мер безопасности на базе IaaS модели СОВ AWS (Amazon Web Services) 134

4.2.3. Отличительные особенности ОСУД в PaaS модели СОВ на примере Azure (Microsoft Azure) 140

4.2.4. Пример применения методики проверки выполнения мер безопасности на базе PaaS модели СОВ Azure (Microsoft Azure) 141

4.2.5. Отличительные особенности ОСУД в SaaS модели СОВ на примере BES (BlackBerry Enterprise Server) 144

4.2.6. Пример применения методики проверки выполнения мер безопасности на базе SaaS модели СОВ BES (BlackBerry Enterprise Server) 145

4.3. Результаты внедрения диссертационной работы 155

4.3.1. Результаты внедрения в ЗАО «Перспективный Мониторинг» 156

4.3.2. Результаты внедрения в ООО «Сертифицированные Информационные Системы» 159

4.3.3. Результаты внедрения в ФГУП «ЦентрИнформ» 160

4.4. Выводы по главе 161

Заключение 163

Список использованной литературы 165

Приложения

• Нарушения безопасности в облачных средах
• Понятия стандартов и подход к обеспечению безопасности
• Оценка уровня защищённости на основе модели комплекса механизмов защиты
• Отличительные особенности ОСУД в PaaS модели СОВ на примере Azure (Microsoft Azure)

Введение к работе

Актуальность работы.

Современный этап развития общества характеризуется интенсивным

развитием сред облачных вычислений (СОВ), в том числе публичных¹. Развитие СОВ затрагивает в свою очередь развитие систем управления доступом (ОСУД). ОСУД являются одним из сервисов СОВ и представляют собой набор механизмов и средств управления безопасностью СОВ.

Вопросам организации управления доступом посвящено большое количество работ. Теоретическая и методологическая база заложена и продолжает формироваться такими отечественными учёными как Грушо А.А., Зегжда Д.П., Зегжда П.Д., Емельянов Г.В., Стрельцов А.А., Иващенко А.А., Калашников А.О., Малюк А.А., Петренко С.А., Петренко А.А., зарубежными -Бармен С, МакЛин Д., Садху Р. При рассмотрении вопросов управления безопасностью ИС можно выделить несколько подходов: нормативный, эксплуатационный, адаптированные для СОВ решения, научные подходы. Необходимо отметить недостатки подходов и решений при их применении в случае СОВ. Это ориентированность на известные классические информационные системы (ИС) и механизмы управления безопасностью ИС, неактуальность решения, низкая интегрируемость в СОВ и ориентированность на нелегитимное вмешательство в ИС. Ключевым является отсутствие путей выявления причин низкой защищённости и эффективности принятых мер. Отличительной особенностью публичных СОВ являются неконтролируемые пользователями сервисов СОВ изменения со стороны вендора. Эти изменения носят легитимный и постоянный характер, затрагивая функциональные возможности СОВ и ОСУД. Подобные аспекты меняют условия функционирования СОВ в сравнении с классическими (необлачными) ИС.

Такое положение создаёт предпосылки для более детальной проработки подходов к управлению ОСУД и возлагается на потребителя. В обычных условиях, не связанных с СОВ, потребителем решается задача исследования ИС

¹ Под термином СОВ подразумеваются только публичные модели развёртывания СОВ, если явно не конкретизируется другая модель развёртывания СОВ

и проверки политик безопасности на предмет их невыполнения и включает (в отношении ИС и компонент ИС):

1. анализ решений по управлению доступом

2. построение моделей безопасности общего и частного характера

3. разработка методов, позволяющих оценить уровень защищённости Решение задачи управления ИБ в условиях СОВ известными способами

может приводить как к неточностям, так и явным ошибкам в отношении состояния защищённости ИС в организации. Это в свою очередь повышает риск возникновения угроз безопасности. Известные методы, используемые для решения задач управления ИБ, базируются на допущении слабо изменяющейся во времени версионности компонентов ИС и возможности фиксирования определённого состояния ИС, и в них не заложена возможность контроля легитимных действий извне. Эти методы с одной стороны не позволяют задействовать потенциальные возможности ОСУД для обеспечения защищённости облачной среды, с другой - могут привнести ошибки в её верифицированное состояние. В работе защищённость публичных облачных сред будет определяться как степень соответствия нормативным требованиям, реализованных существующими механизмами безопасности (ОСУД), с учётом выбранных возможностей публичных облачных сред. Под уровнем защищённости понимается показатель, который характеризуется реализованными мерами безопасности, снижающими угрозы безопасности СОВ. При оценке защищённости важно учитывать разную значимость мер, применимость, недостаток и избыток мер с учётом нормативных требований и существующих функциональных возможностей СОВ.

Исходя из сказанного, для управления безопасностью публичных облачных сред (для потребителя) требуется разработка новых подходов, опирающихся на принцип сохранения и поддержания требуемого уровня защищённости СОВ, с учётом изменений, возникающих со стороны вендора. Реализация данного принципа решается потребителем облачных услуг в рамках модели управления безопасностью СОВ согласно известным стандартам и предполагает:

адаптацию подходов нормативных документов к конкретным облачным решениям и их возможностям.

формирование моделей безопасности к облачным сервисам с учётом набора предъявляемых требований к возможностям этих сервисов;

реализацию нормативных мер посредством ОСУД;

оценку эффективности принятых мер с последующим определением необходимости корректировки мер безопасности;

оценку происходящих динамических изменений в облачной среде различного характера (функционального, нормативного и конфигурационного) с целью адаптации параметров безопасности к изменениям

Таким образом, тема исследования, направленная на решение данной задачи, является актуальной и определяет цели, задачи и основные направления исследования.

Научная задача - обоснование и разработка методов управления безопасностью в условиях легитимных динамических изменений облачных сред

Цель исследования — повышение уровня защищённости СОВ путём выявления динамических изменений СОВ, в т.ч. легитимного характера.

Объект исследования — облачная система управления доступом (ОСУД) СОВ, представляющая собой встроенные механизмы безопасности СОВ.

Предмет исследования - методы управления безопасностью СОВ, представляющие собой средство поддержки принятия решений в условиях динамических изменений СОВ.

В рамках диссертации были решены следующие задачи:

4. Проведён анализ существующих стандартов по управлению безопасностью СОВ с целью выявления особенностей применения требований стандартов к технологиям СОВ.

5. Проведён анализ встроенных механизмов безопасности СОВ с целью построения сервисо-зависимых моделей безопасности сервисов СОВ

3. Разработан способ комплексирования подходов к управлению безопасностью СОВ, учитывающий особенности действий вендора, приводящих к изменениям в инфраструктуре СОВ

4. Разработаны методы расчёта показателей значимости мер² безопасности и количественной оценки выполнения мер безопасности

5. Разработаны методы оценки эффективности реализации мер безопасности и выбора оптимального варианта конфигурации мер безопасности

Методы исследований поставленных задач в работе включали теорию множеств, теорию вероятностей, теорию многокритериального выбора, методы системного анализа, оценки частных и групповых показателей, математической логики и статистики и экспериментальные методы исследования.

Основные положения, выносимые на защиту:

1. Способ комплексирования подходов к управлению безопасностью СОВ обладает возможностью поддерживать заданный уровень защищённости СОВ с учётом происходящих в ней динамических изменений

2. Методы количественной оценки выполнения мер безопасности дают возможность учитывать специфику СОВ и актуальность угроз на основе независимой экспертной оценки на базе классификаторов CVSS

3. Методы оценки эффективности применяемых мер и выбора оптимального варианта конфигурации мер безопасности позволяют определять ошибки в наборе мер и снижать объём работы по конфигурации безопасности СОВ Научная новизна исследований

В результате проведённых исследований получены следующие новые научные результаты:

1. Предлагаемый способ комплексирования подходов, в отличие от известных подходов, объединяет и расширяет известные подходы (функциональный, нормативный, эксплуатационный) к управлению безопасностью, а также данный комплекс подходов предлагается

² Под мерами поднимаются программно-аппаратные меры, представленные требованиями стандартов и реализуемые в СОВ политиками разрешений/запретов («permissions»)

адаптированным к публичным СОВ, что позволяет исправить недостатки известных подходов.

2. Разработанные методы количественной оценки уровня выполнения мер безопасности (требований и разрешений) отличаются от известных тем, что полученная оценка характеризует уровень защищённости СОВ исходя из задействованных и необходимых функциональных возможностей. При расчёте уровня защищённости может быть получена предварительная (нормативная оценка - требований) и фактическая (конфигурационная/эксплуатационная, разрешения) оценки состояния защищённости. Оценки, получаемые для классических³ и неклассических⁴ случаев, позволяют выявлять наборы как недостающих, так и избыточных мер безопасности.

3. Разработанные методы оценки эффективности выполнения мер безопасности отличаются от известных тем, что для расчёта могут быть использованы отношения предварительной и фактической оценки состояния защищённости, отношения изменений набора мер и снижения показателей рисков до и после внедрения мер. Это позволяет выявлять ошибки в наборах мер, возникающих при корректировке набора мер ввиду возникающих изменений. Разработанные методы выбора оптимального варианта конфигурации мер безопасности отличаются от известных тем, что критерии выбора оптимального варианта опираются не на экспертные значения, являющиеся приоритетом конфигурации набора мер безопасности, а определяются значимостью (весом) меры. Также отдельно приведены возможные варианты оптимального переконфигурации с учётом возможных вариантов изменений, возникающих по разным причинам.

³ Классический случай оценки защищённости - набор применённых мер безопасности
соответствуют набору необходимых к реализации мер и соотносится с набором задействованных
возможностей, который соответствует полному набору доступных возможностей.

⁴ Неклассический случай оценки защищённости - набор применённых мер безопасности не
соответствуют набору необходимых к реализации мер в большую или меньшую сторону и набор
задействованных возможностей не соответствует полному набору доступных возможностей

Практическая значимость полученных результатов заключается в следующем:

1. Разработанный способ комплексирования может быть использован в качестве базы для автоматизации процессов управления безопасностью облачных сред для программных решений класса «управление осведомлённостью сотрудников в области информационной безопасности»

2. Разработанные методы позволяют выполнять оценку состояния защищённости СОВ и выявлять ошибки и нарушения безопасности, с последующей оценкой эффективности конфигурации СОВ

3. Разработанные методики использования способа и методов могут быть использованы для проведения работ по анализу защищённости СОВ на предмет предъявляемых к ней требований рассмотренных стандартов

Теоретические и практические результаты были использованы в проектах, разработанных и реализованных Компанией ЗАО «Перспективный Мониторинг» при разработке в виде:

1. Модели управления безопасностью публичных СОВ и методики оценки
защищённости СОВ и оценки эффективности реализованных мер безопасности

2. Эскизных проектов программного обеспечения класса «Security
Awareness» и «Decision Support System» с использованием разработанных
методов оценки уровня защищённости и алгоритма принятия решений.

Теоретические и практические результаты были использованы в проектах, реализованных Компанией ООО «Сертифицированные Информационные Системы» в виде:

4. Рекомендаций по выбору вариантов конфигурации мер безопасности при использовании различных публичных облачных сред, включая решения управления корпоративной мобильностью (Enterprise Mobile Management, EMM), являющихся разновидностью облачных сред

5. Методики проведения анализа безопасности публичных облачных

сред в рамках рассмотренных существующих нормативных документов и

вендорных решений публичных облачных сред

Теоретические и практические результаты были использованы в процессе проектирования информационных систем ФГУП «ЦентрИнформ» в виде

6. Программного комплекса, управляющего применением средств защиты корпоративной облачной среды, предоставляющей инфраструктуры и платформу как услуги⁵, построенной на основе решений с открытым исходным кодом (Openshift Origin и Openstack);

7. Программных модулей, контролирующих применение средств защиты информации в указанных информационных системах, применяемых в пределах принятой на предприятии системы мониторинга на основе программного комплекса Zenoss.

Обоснованность и достоверность результатов работы подтверждается применением корректных исходных данных, проверкой непротиворечивости и адекватности положений и выводов, аналитическими и экспериментальными исследованиями, апробацией результатов исследования в докладах и публикациях на российских и зарубежных научных конференциях, а также положительными результатами внедрения разработанного решения в практику.

Публикации. По результатам проведённых по теме диссертационной работы исследований без соавторов выполнено 29 публикаций, в т.ч. в журналах, рекомендуемых ВАК - 7 и Scopus - 3.

Апробация работы

Результаты практической апробации подтверждают адекватность и корректность разработанных методов. Результаты и основные положения диссертационного исследования докладывались и нашли одобрение на 24 зарубежных и отечественных конференциях и конгрессах⁶, в т.ч. 7 научных.

Структура и объем работы

Нарушения безопасности в облачных средах

Механизм распределённого хранения данных используется в рамках СОВ в вариантах локального распределения данных и регионального распределения данных. Локальное подразумевает собой распределение внутри одного региона в автоматическом режиме. Региональное никогда не выполняется в автоматическом режиме и требует ручного переноса либо автоматизации процесса. Регион может варьироваться как понятие от вендора к вендору, но типовые варианты — это страна или страна и город. Средства обеспечения целостности для СОВ на данный момент применимы в масштабах выполняемых задач самими ядром и не выносятся на управляемый (прикладной) уровень. Так, например, наиболее полно реализованные механизмы могут включать функции обеспечения целостности ядра виртуальной ОС или хранимого образа виртуальной ОС. Для виртуальной ОС механизмы целостности управляются изнутри самой ОС, либо посредством расширения другими сервисами СОВ или сторонними решениями. Так, использование HIPS решений или механизмов контроля целостности программ, пользовательских файлов, списка разрешённых или запрещённых к запуску программ и процессов.

Сервис ОСУД любого вендора СОВ всегда обладает минимальным набором средств защиты в виде определённого списка учетных записей (аккаунтов), согласно которому организовано разграничение доступа. Очевидно, что конфигурация по умолчанию включает как минимум одну учётную запись администратора или суперпользователя8, если выражаться в привычных терминах. В действительности как таковых пользователей, разделённых по типу пользователя (привилегированный, обычный, суперпользователь и т.п.) не существует; существуют типы доступа. Отдельно стоит выделить аккаунт «Владелец», являющийся аналогом суперпользователя, то есть которому доступны все сервисы СОВ по умолчанию, а также с которым создаётся аккаунт в AWS после первоначального этапа регистрации. Такой аккаунт необходим для дальнейшей конфигурации остальных аккаунтов (пользователей), в то время как любой другой аккаунт с правами, аналогичными правам аккаунта типа «Владелец», может изменить права для этого типа аккаунта. Такому аккаунту доступны все сервисы, включая биллинговый сервис, в связи с чем рекомендуется ограничивать его права на доступ к остальным сервисам с целью предотвращения кражи его пароля. Все остальные типы аккаунтов считаются пользовательскими и могут обладать любыми правами доступа.

Учитывая, что среди сервисов СОВ присутствуют также и виртуальные ОС, то ОСУД управляет ресурсами, и виртуальная ОС в данном случае один из таких ресурсов. С другой стороны, компонент ОСУД, относящихся к виртуальным ОС (например, Amazon AWS ЕС2) позволяет конфигурировать

Для СОВ наиболее корректным для такого аккаунта является название «владелец» (owner) дополнительные настройки межсетевого экрана, например, по времени или геопризнаку. Таким образом, для виртуальных ОС семейства Windows NIX (Debian, Ubuntu...), каждый процесс запускается от имени определённой учётной записи, при этом он может принадлежать этому же или другому пользователю; тоже самое справедливо для файлов и СУБД. Как было упомянуто ранее, СОВ аналогично обычным ИС, в частности ОС, обладает учётной записью типа суперпользователь ( NIX) или администратор (Windows), которая позволяет совершать набор действий, недоступный рядовым пользователям. Известны случаи неконтролируемых полномочий таких учётных записей для классических ИС ввиду возможности внесения изменений в журналы событий. Для СОВ это не применимо: любые изменения в обязательном порядке регистрируются, и хранение записей сконфигурировано таким образом, что доступ к ним запрещён при условии дополнительной конфигурации запрета доступа со стороны владельца аккаунта СОВ.

Для СОВ также существует возможность установления подлинности на основе ряда уникальных параметров: на основе дополнительных средств (например, MFA), на основе владения секретным ключом, паролем, на основе сертификата, на основе токена для программного доступа на основе «глобальных уникальных идентификаторов», или точек входа для каждого пользователя или группы. Надёжность пароля в составе механизма защиты ОСУД определяется следующими свойствами (будут отмечены лишь свойственные ОСУД различных вендоров на данный момент). 1 возможность / запрет настройки собственного пароля; 2 возможность управления сложностью пароля (рассматривается как структура из набора используемых множеств символов для ввода); 3 возможность усиления дополнительными средствами (MFA, программные) доступа; 4 возможность сохранения истории паролей; возможность ведения журнала регистрации и соответственно регистрации событий, в части связанной с паролями

Понятия стандартов и подход к обеспечению безопасности

Подход к управлению функциональными возможностями СОВ. Каждая ИС предполагает наличие возможностей, доступных для пользователя, где будет задействован необходимый пользователю перечень возможностей. Наличие этих возможностей означает необходимость управления ими. Использование тех или иных возможностей предполагает соответствие набору требований документов в рамках задействованного набора возможностей. Соответствие требований предполагает использование определённого нормативного документа, что, в свою очередь, позволяет определять критерии

защищённости облачных сред в рамках документа. Проведённое исследование показало наличие у существующих документов положительных и отрицательных сторон, подробно рассмотренных в первой главе. Все рассматриваемые документы предполагают, что политики безопасности реализуются либо средствами облачных сред, либо средой эксплуатации, либо некоторой их комбинацией. Таким образом, очевидна ценность функционального подхода при реализации управления облачными средами. Здесь ключевым является построение таблиц соответствия моделей СОВ рассматриваемым нормативным документам (ПРИЛОЖЕНИЕ 1. МАТРИЦА СООТВЕТСТВИЙ СОВ И МЕЖДУНАРОДНЫХ СТАНДАРТОВ В ОБЛАСТИ СОВ).

Подход к управлению нормативной базой. Подход подразумевает формирование компонентов СОВ через сервисо-зависимые модели безопасности. Предыдущий подход определяет критерии и вектор защищённости таких ИС как СОВ и последовательность действий. СОВ допускают быструю переконфигурацию компонентов сервисов СОВ вплоть до уровня функциональных возможностей. Подход ориентирован на формирование набора нормативных требований, что первично снижает типовые нарушения безопасности. Это достигается путём приведения СОВ к определённому состоянию, отвечающему предъявляемым требованиям безопасности. При этом, отклонение от состояния обычно рассматривается как нарушение безопасности. С другой стороны, состояние определяется набором требований безопасности, следовательно, отклонение от набора требований эквивалентно нарушению безопасности, если нарушается приемлемое состояние безопасности. Ранее была решена задача построения матрицы соответствия функциональных возможностей рассматриваемым требованиям безопасности. Поэтому следует определить особенности их применения (ПРИЛОЖЕНИЕ 3. СЕРВИСО-ЗАВИСИМЫЕ МОДЕЛИ). Ограничением является соответствие на уровне базовых требований, ввиду наличия в документах серии NIST ряда уникальных требований безопасности.

Подход к управлению конфигурацией ОСУД. Подход подразумевает разработку конфигурации безопасности СОВ. В настоящий момент для публичных СОВ отсутствуют средства, позволяющие выполнять анализ конфигураций с последующей верификацией для обеспечения безопасности. Очевидна, актуальность анализа для управления параметрами ОСУД для выявления зависимостей и неявных конфигураций. В случае публичных СОВ ситуация осложняется тем, что изменения в структуре самой СОВ происходят постоянно ввиду доработок, исправления ошибок со стороны вендора. Это увеличивает степень непрозрачности происходящих событий в окружении СОВ, несмотря на положительный эффект в виде исправления слабых мест. Этот подход решает задачу повышения прозрачности состояния механизмов безопасности СОВ в рамках автоматически получаемых и применяемых обновлений СОВ как инфраструктуры. Предыдущий подход позволяет выявлять «опасные» с точки зрения конфигураций места, связанные с функциональными возможностями СОВ. Другими словами, исключить заведемо не используемую функциональность. Текущий подход позволяет выявлять «опасные» с точки зрения используемых в СОВ политик безопасности (правил доступа). Соответственно, анализ политик безопасности направлен на поиск ошибок конфигурации, а подстройка правил доступа устраняет найденные ошибки. Очевидна ценность конфигурационного подхода при реализации безопасности в сложных ИС, таких как СОВ, с учётом возможных изменений в функциональных возможностях структур самих политик безопасности СОВ. На этом этапе стоит задача разрешения вопросов анализа прав доступа для соотнесения их действующими политиками безопасности в организации (у потребителя), приведения политик безопасности СОВ к непротиворечивому виду, анализа изменений структур политик СОВ и обновления старых версий к новым.

Оценка уровня защищённости на основе модели комплекса механизмов защиты

С позиции нормативной базы можно говорить о защищённости СОВ как о совокупности мер, направленных на предотвращение угроз в отношении компонентов и механизмов СОВ. Это достигается путём реализации через применение технических решений и средств, обеспечивающих определённый уровень защищённости СОВ. Поскольку СОВ ориентированы на применение в максимальной степени встроенных механизмов и средств безопасности, актуален вопрос корректного управления ими. Защищенная публичная облачная среда - это среда, имеющая механизмы управления безопасностью, позволяющие реализовывать и обеспечивать выполнение конфигураций ОСУД согласно требованиям безопасности . В работе защищённость публичных облачных сред будет определяться как степень соответствия нормативным требованиям, реализованных существующими механизмами безопасности, с учётом выбранных возможностей публичных облачных сред (ОСУД). Под уровнем защищённости понимается показатель, который характеризуется реализованными мерами безопасности, снижающими угрозы безопасности СОВ. При оценке защищённости важно учитывать разную значимость мер, применимость, недостаток и избыток мер с учётом нормативных требований и существующих функциональных возможностей СОВ. Задача управления нормативных документов и документов компании мерами безопасности и конфигурацией СОВ решается пользователем, подразумевая автоматическое, полуавтоматическое или ручное регулирование набора параметров СОВ. Это предполагает проводимый на постоянной основе анализ текущего состояния защищённости СОВ и поддержание заданного состояния безопасности СОВ.

Ввиду сложной структуры механизмов управления безопасностью СОВ и ограничений их возможностей, обычно применяются подходы, предполагающие построение математических моделей ИС. В представленных на сегодняшний день публикациях по управлению безопасностью СОВ, обозначены принципы управления безопасностью ИС, однако ИС сильно отличаются, равно как и будут отличаться подходы. Принципы формируют необходимость проведения работ, направленных на постоянную оценку защищённости публичной облачной среды и уточняют комплекс мер, позволяющих сохранять необходимый уровень. Решение задачи выполняется исходя из результатов, полученных в главе 2. 1. Функциональная модель - Подход к управлению функциональными возможностями публичных облачных сред. 2. Нормативная модель - Подход к управлению нормативной базой 3. Конфигурационная модель - Подход к управлению конфигурацией ОСУД публичных облачных сред 4. Обобщённая модель управления безопасностью публичных облачных сред - Обобщённый подход к управлению безопасностью публичных облачных сред Рассмотрим каждую из моделей отдельно.

При рассмотрении первого случая подразумевается определение перечня используемых возможностей публичных облачных сервисов, что позволяет выбирать нормативную публикацию исходя из перечня возможностей. Необходимость определяется различными целевыми назначениями одних и тех же сервисов. Сформированный набор возможностей облачных сред напрямую влияет на конфигурацию ОСУД их регулирующую [198]. При рассмотрении второго случая подразумевается выполнение выбора соответствующих функциональным возможностям нормативных мер. Здесь, возможно определить набор применяемых нормативных мер с учётом результатов первого случая [199]. Необходимость определяется возможностью модификации состава нормативных требований и документом к облачным сервисам и предоставляемым ими возможностям. Так, использование одного публичного сервиса накладывает необходимость применения разного перечня нормативных мер применительно к целям его использования.

При рассмотрении третьего случая подразумевается описание параметров ОСУД относительно нормативных требований, формируя тем самым набор признаков безопасной конфигурации публичной облачной среды [200-201]. Примером являются популярные шаблоны безопасности, используемые при разделении доступа к веб-сайтам, где те или иные роли подразумевают определённый набор параметров политик безопасности. Необходимость определяется возможностью выявления отклонений от определённого показателя безопасности. В отношении сформированного набора параметров ОСУД может применяться верификация, что будет являться гарантией выполнения применяемых мер безопасности.

При рассмотрении четвёртого случая подразумевается управление динамическими изменениями параметров облачных сервисов, которые носят постоянный характер и изменяют состав возможностей облачных сервисов, включая ОСУД. Отсюда, предыдущий набор мер не может являться более корректным ввиду произошедших изменений. Очевидна необходимость выявления подобных изменений [199]. В рассматриваемых условиях это позволяет определить адаптивность как характеристику управления. Результат каждой интерации - множество «безопасных состояний» СОВ. Ниже представлены основные итерации управления в графическом виде (Рисунок 10).

Отличительные особенности ОСУД в PaaS модели СОВ на примере Azure (Microsoft Azure)

В главе разработаны и представлены методы расчёта количественной оценки выполнения мер безопасности и расчёта показателей их значимости, эффективности их реализации и выбора оптимального варианта конфигурации мер безопасности. Методы позволяют дать оценку уровню защищённости СОВ и выявить причины несоответствия уровню. Значимость (вес) мер устанавливается исходя из значений веса мер нормативных документов и корректируется независимыми экспертными значениями на базе классификаторов угроз (CVE, CVSS, NVD). Такие классификаторы показывают актуальность и критичность угроз, которые могут возникнуть при реализации атак в отношении механизмов безопасности.

Вводится понятие функциональная возможность - представляемые субъектам инструменты, или API-функции в терминологии СОВ, для взаимодействия с облачными компонентами. Возможности количественно связаны с ЬааЬ, гааЬ, 1ааЬ моделями обслуживания. Мощность множества функциональных возможностей СОВ определяется типом конкретной реализации облачного сервиса и представима суммой (безразмерной величины) равнозначных возможностей \Ccustom\ = f=1 Cf. Kf., где Щ = {01} - индикатор использования функциональной возможности Cf.. Экспериментально установлено соотношение мощностей возможностей СОВ из рассмотренных в работе \CPaaS\ \CSaaS\ \CIaaS\. Возможности исходя из реализации г type 1 облачного решения соотносятся как целочисленные значения г type 2 , а именно \CPaaS\ = J\CSaaS\, \CSaaS\ = J\CIaaS\. Разброс количества функциональных возможностей AAPI = \-YJ1l(CServicetypei — ACServicetype)2 - дисперсия также выражена целочисленным значением по оценке снизу. Параметр ACServicetype = - Yt CServicetype., показывает среднее количество функций сервиса среди аналогичных сервисов. Определение принадлежности облачной среды исходя из используемых возможностей к модели обслуживания (типу облачной среды) помогает первично определить соответствующий нормативный документ для последующего формирования требований. Для этого был разработан метод выбора документа. Метод применим как для набора частных случаев в рамках 42 рассмотренных СОВ, так и для общего случая.

На уровень защищённости влияет количество применённых мер. Однако группы требований содержат разное количество требований, которые, в свою очередь, могут иметь разную значимость. В отличие от известных методов для публичных СОВ важно учитывать применимые и применённые меры, доступные и задействованные функциональные возможности. Это позволяет учитывать динамический характер возникающих изменений. Так, в работе различаются классические и неклассические случаи оценки уровня защищённости. Под классическим понимается случай, когда набор задействованных функциональных возможностей и применённых мер эквивалентен полному набору доступных возможностей и мер. И, наоборот, для неклассического случая. При использовании аддитивных показателей, выражение для оценки уровня выполнения мер AQ = Yt=i SR- %І- ЭТОТ уровень характеризует уровень защищённости и представим в виде суммы нормированных показателей, где NSR. - нормированное значение і-го требования, Х(- выполнение і-го требования.

В работе используется другой подход к оценке, заключающийся в оценке выполненных мер к набору необходимых к выполнению мер AQ = f 1-— 2.1=1 NSRtNi NSR. определяется соотношением значимости требования к сумме весов всех SR требований NSR. = ——-—; Ef=i Ysfl- — 1- Вес 57? j определяется нормативным рангом меры и корректируется весом критичности угрозы (на базе классификаторов CVE, AWS Bulletin и т.п.) и вычисляется как среднее значение. Очевидно, не все требования применимы, поэтому вводится уточняющий коэффициент FR = {01} - индикатор (не-)выполнения требования и NR = {01} - индикатор необходимости применения требования. Ниже представлена таблица (табл.6 и 9 глав 3.2.3 и 3.2.4), описывающая интерпретацию уточняющих коэффициентов. Переменная Ft определяет неклассические случаи №1 и №4 (не-)соответствия применения меры аналогичному требованию стандарта и является индикатором необходимости учёта или не учёта полученного результата. В классических случаях №2 и №3 предполагается обязательный учёт результата.