|
BULUTLI HISOBLASH TIZIMLARIDA XAVFSIZLIK MEXANIZMLARI
Xudoykulov Z.T. (TATU, dotsent)
Karimov A.A. (TATU, assistent)
Bozorov S.M. (TATU, assistent)
Virtual muhitda saqlangan resurslar, geografik jihatdan taqsimlangan serverlar, ma’lumotlarni saqlashning bir joyda joylashishi, bulutli xizmat ko‘rsatuvchi provayderlar va foydalanuvchilar uchun qiyinchilik va imkoniyatlar yaratadi. The Open Security Alliance (OSA) xavfsizlik arxitekturasi хavfsizlikni boshqarish vositalari qanday joylashganligi va ularning umumiy AT arxitekturasi bilan qanday bog‘liqligini tavsiflovchi qoidalar to‘plami sifatida belgilaydi. Bulutli xavfsizlik arxitekturasini amalga oshirish va ishlashiga bir qancha omillar ta’sir qiladi. Bularga me’yoriy talablar, standartlarga muvofiqlik, xavfsizlikni boshqarish, ma’lumotlarni tasniflash va xavfsizlikdan xabardorlik kiradi.
- Shifrlash: Aloqa xavfsiz bo‘lishi uchun hattoki bulutli ma’lumotlar ham shifrlanishi talab etiladi. Masofaviy serverlarga datchiklar o‘rnatilishi, zararli dasturlar uchun tekshirilishi va raqamli sertifikatlardan foydalangan holda boshqarilishi kerak.
Sertifikatlash jarayoni jismoniy shaxslarni ochiq kalit kriptografiyasida qo‘llaniladigan ochiq kalitlarga ulash uchun ishlatilishi mumkin. Sertifikatlash markazi (Certificate authority, CA) foydalanuvchining haqiqiyligini tasdiqlaydi va kafolat beruvchi sertifikat taqdim etadi. Ushbu Sertifikatlash agenti sertifikatni o‘zining shaxsiy kaliti bilan imzolaydi.
X.509 standarti ochiq kalitli infratuzilmalar (Public key infrastructure, PKI) va imtiyozga asoslangan boshqarish infratuzilmalari (Privilege Management Infrastructure, PMI) uchun mo‘ljallangan.
X.509 sertifikatlari faqat bitta sertifikat egasi nomini qo‘llab-quvvatlaydi, X.509 sertifikatlari faqat bitta ERIni qo‘llab-quvvatlaydi. Bu esa sertifikatning haqiqiyligini tasdiqlaydi.
X.509 standarti ochiq kalit sertifikatlari formatini belgilaydi. Keyin bu sertifikatlar va bekor qilingan sertifikatlar ro‘yxati saqlanadigan (Certificate Revocation lists, CRL) bazaga yuboriladi (1-rasm). CRL foydalanuvchi yoki Sertifikatlash markazi sertifikati kalit kelishuvi tufayli bekor qilinganligini aniqlash uchun ishlatiladi. CRL-ning muhim xususiyati shundaki, u faqat muddati o‘tmagan sertifikatlar haqidagi ma’lumotlarni o‘z ichiga oladi.
1-rasm. CRL da muddati tugagan sertifikatni tekshirish jarayoni
Quyida foydalanuvchi va tranzaksiyani amalga oshiruvchi tomon o‘rtasidagi tranzaksiyada raqamli sertifikatlardan qanday foydalanilishi ko‘rsatilgan (2-rasm).
2-rasm. Raqamli sertifikat bilan tranzaksiya
Ochiq kalitli infratuzilmalar (Public Key Infrastructure, PKI): Elektron tijorat uchun zarur bo‘lgan raqamli imzo va sertifikatlar hamda boshqa xizmatlarning integratsiyasi ochiq kalitlar infratuzilmasi deb ataladi. Ushbu xizmatlar elektron tranzaksiyalar uchun yaxlitlik, kirish nazorati, maxfiylik, autentifikatsiya va rad etmaslikni ta’minlaydi. Ochiq kalitli infratuzilmalar quyidagi elementlarni o‘z ichiga oladi:
Raqamli sertifikatlar;
Sertifikatlash markazi (CA);
Ro‘yxatga olish markazlari;
Siyosat va proseduralar;
Sertifikatni bekor qilish;
Rad etmaslikni qo‘llab-quvvatlash;
Vaqt belgisi;
Yengil katalogga kirish protokoli (LDAP);
Xavfsizlikni ta’minlaydigan ilovalar.
Raqamli sertifikat va sertifikat boshqaruvi ochiq kalitli infratuzilmalarning asosiy komponentlari hisoblanadi. Raqamli sertifikatning maqsadi - ochiq kalit halqasida joylashtirilgan shaxsning ochiq kaliti aslida unga tegishli ekanligini tekshirishdan iborat. Ishonchli uchinchi tomon Sertifikatlash markazi ochiq kalit nomi ko‘rsatilgan shaxsga tegishli ekanligini tekshirishi va keyin bu faktni tasdiqlovchi sertifikat berishi mumkin.
Sertifikatlash markazi, sertifikatlashtirishni shaxsning ochiq kaliti va unga aloqador ma’lumotlarni raqamli imzolash orqali amalga oshiradi.
Sertifikatlar va CRL-lar ular o‘rtasida belgilangan vazifalar bilan bazada saqlanishi mumkin. Keyin foydalanuvchilar ushbu ma’lumotlar bazasiga kirishlari mumkin. PKI-da ombor katalog deb ham ataladi.
3-rasm. Ochiq kalitlitlar infratuzilmasi arxitekturasi
Yagona tizimga kirish (Single Sign-On, SSO): turli manbalarga kirish uchun bir necha marta tizimga kirishning murakkab vaziyatini hal qiladi. Foydalanuvchilar bir nechta parol va identifikatorlarni eslab qolishlari kerak. Yagona tizimga kirish (Single sign on, SSO) da foydalanuvchi har bir ish seansi uchun bitta identifikator va parolni taqdim etadi va barcha kerakli ilovalarga avtomatik ravishda kiradi. Yagona tizimga kirish xavfsizligi uchun parollar aniq saqlanmasligi yoki uzatilmasligi kerak.
1-jadval
Yagona tizimga kirish afzalliklari va kamchilikllari
Do'stlaringiz bilan baham: |
