Digital Design kompaniyasining strategik mijozlar bilan ishlash bo'limi loyihalari rahbari Aleksey Berdnik bilan suhbat

Virtualizatsiyaning paydo bo'lishi ko'pgina tizimlarning virtual mashinalarga keng ko'lamli ko'chishi uchun shoshilinch sabab bo'ldi. Biroq, barcha bulut resurslari hisobga olinishiga kafolat yo'q va nazorat qilinmagan virtual mashinalar yo'q, keraksiz jarayonlar ishlamaydi yoki bulut elementlarining o'zaro konfiguratsiyasi buzilmaydi. Bulutli hisoblash uchun qanday tahdidlar bor va ularni qanday qilib oldini olish mumkin?

- Bu yuqori darajadagi tahdid turi, chunki u bulutning yagona axborot tizimi sifatida boshqarilishi bilan bog'liq va uning uchun umumiy himoya alohida qurilishi kerak. Buning uchun siz bulutli infratuzilmalar uchun risklarni boshqarish modelidan foydalanishingiz kerak.

Bulutli hisoblashda virtualizatsiya texnologiyasi muhim platforma rolini o'ynaydi. Bulutli hisoblash uchun ma'lum tahdidlar bulut serverlarini hisoblash bulutiga ko'chirish qiyinligini o'z ichiga oladi. Ko'pgina an'anaviy ma'lumotlar markazlarida muhandislarning serverlarga kirishi jismoniy darajada nazorat qilinadi; bulutli muhitda ular Internet orqali ishlaydi. Shu sababli, kirishni boshqarishning differentsiatsiyasi va tizim darajasidagi o'zgarishlarning shaffofligini ta'minlash himoya qilishning asosiy mezonlaridan biridir.

Tahdid virtual mashinalarning dinamizmi bilan bog'liq bo'lishi mumkin. Virtual mashinalar klonlanadi va ularni jismoniy serverlar o'rtasida ko'chirish mumkin. Ushbu o'zgaruvchanlik yaxlit xavfsizlik tizimini loyihalashga ta'sir qiladi. Shu bilan birga, virtual muhitda operatsion tizim yoki ilovalarning zaifliklari nazoratsiz ravishda tarqaladi va ko'pincha o'zboshimchalik davridan keyin, masalan, zaxiradan tiklashda paydo bo'ladi. Shuning uchun, bulutli hisoblash muhitida, uning joylashgan joyidan qat'i nazar, tizimning himoya holatini ishonchli qayd etish muhimdir. Bulutli va virtual tizimlar uchun xakerlik va zararli dasturlarni yuqtirish xavfi ancha yuqori. Shuning uchun, hujumni aniqlash va oldini olish tizimi bulutdagi joylashuvidan qat'i nazar, virtual mashinalar darajasida zararli faoliyatni aniqlay olishi kerak.

O'chirilgan virtual mashina ham infektsiya xavfi ostida, chunki tarmoqqa kirish uning tasvir xotirasiga kirish uchun etarli. Shu bilan birga, o'chirilgan virtual mashinada xavfsizlik dasturini yoqish mumkin emas. Shuning uchun gipervisor darajasida himoyani amalga oshirish kerak. Shuni ham yodda tutish kerakki, bulutli hisoblashdan foydalanganda tarmoq perimetri loyqalanadi yoki hatto yo'qoladi, bu esa tarmoq xavfsizligining umumiy darajasini butunlay boshqacha ta'riflashga olib keladi. Uning eng kam himoyalangan qismiga to'g'ri keladi. Bulutdagi turli ishonch darajalariga ega bo'lgan segmentlarni farqlash uchun virtual mashinalar tarmoq perimetrini virtual mashinaning o'ziga o'tkazish orqali o'zlarini himoya qilishlari kerak.

Bulutga o'tishning yana qanday xavflari bor?

- Operatsion tizimlar, modulli komponentlar, tarmoq protokollaridagi zaifliklar an'anaviy tahdidlar bo'lib, ulardan himoyalanish uchun xavfsizlik devori, xavfsizlik devori, antivirus, IPS va ushbu muammoni hal qiladigan boshqa komponentlarni o'rnatish kifoya. Shu bilan birga, ushbu himoya vositalarining virtualizatsiya muhitida samarali ishlashi muhim ahamiyatga ega.

Bulutli elementlarga funktsional hujumlar ham mavjud. Ularni himoya qilish uchun bulutning har bir qismi uchun quyidagi himoya vositalaridan foydalanish kerak: proksi-server uchun - DoS hujumlaridan samarali himoya, veb-server uchun - sahifa yaxlitligini nazorat qilish, dastur serveri uchun - dastur darajasidagi ekran, DBMS uchun - SQL in'ektsiyasidan himoya qilish, ma'lumotlarni saqlash tizimlari uchun - to'g'ri zaxiralash (zaxira), kirishni boshqarish. Alohida-alohida, ushbu mudofaa mexanizmlarining har biri allaqachon yaratilgan, biroq ular bulutni har tomonlama himoya qilish uchun yig'ilmagan, shuning uchun ularni yagona tizimga integratsiya qilish vazifasi bulutni yaratish jarayonida hal qilinishi kerak.

Biz mijozga hujum deb ataladigan narsalarni ajrata olamiz. Aksariyat foydalanuvchilar bulutga brauzer yordamida ulanganligi sababli, parolni o'g'irlash, veb-sessiyani o'g'irlash va shunga o'xshash boshqa ko'plab hujumlar xavfi mavjud. Ularga qarshi yagona himoya - bu to'g'ri autentifikatsiya va o'zaro autentifikatsiya bilan shifrlangan ulanishdan (SSL) foydalanish. Biroq, bu himoya vositalari bulut yaratuvchilar uchun juda qulay va juda isrofgarchilik emas. Axborot xavfsizligi sohasida haligacha hal etilmagan muammolar ko'p.

Virtual tizimning asosiy elementlaridan biri gipervisordir. Uning asosiy vazifasi virtual mashinalar o'rtasida resurslarni almashishdir. Gipervisorga qilingan hujum natijasida bitta virtual mashina boshqasining xotirasi va resurslariga kira oladi. Shuningdek, u tarmoq trafigini ushlab turishi, jismoniy resurslarni tortib olishi va hatto virtual mashinani serverdan siqib chiqarishi mumkin bo'ladi. Standart himoya usullari sifatida virtual muhitlar uchun maxsus mahsulotlardan foydalanish, xost serverlarini Active Directory katalog xizmati bilan integratsiya qilish, parol murakkabligi va amal qilish muddati siyosatidan foydalanish, shuningdek, xost serverini boshqarish vositalariga kirish protseduralarini standartlashtirish va foydalanish tavsiya etiladi. virtualizatsiya xostining o'rnatilgan xavfsizlik devori. Bundan tashqari, tez-tez ishlatilmaydigan xizmatlarni, masalan, virtualizatsiya serveriga Internetga kirishni o'chirib qo'yish mumkin.

Bulutda ishlatiladigan ko'p sonli virtual mashinalar virtual mashinalarni yaratish, ko'chirish va yo'q qilishni ishonchli nazorat qila oladigan boshqaruv tizimlarini talab qiladi. Boshqarish tizimiga aralashuv virtual mashinalarning paydo bo'lishiga olib kelishi mumkin - ko'rinmas, ba'zi virtual mashinalarni blokirovka qilishga va boshqalarni almashtirishga qodir.

Xavfsizlik tahdidlari har doim ularni oldini oladigan yechimlarni ishlab chiqaradi. Qaysi biri eng samarali?

- Ma'lumotlarni himoya qilishning eng samarali usullaridan biri shifrlashdir. Ma'lumotlarga kirishni ta'minlovchi provayder mijozning ma'lumotlar markazida saqlangan ma'lumotlarini shifrlashi va kerak bo'lmasa, uni qaytarib bo'lmaydigan tarzda o'chirib tashlashi kerak. Uzatish paytida, hatto shifrlangan ma'lumotlarga faqat autentifikatsiyadan so'ng kirish mumkin bo'lishi kerak. Bundan tashqari, ma'lumotlarga kirish faqat ishonchli AES, TLS, IPsec protokollari orqali amalga oshirilishi kerak. Shuningdek, autentifikatsiya uchun tokenlar va sertifikatlardan foydalanish orqali yuqori ishonchlilikka erishiladi. Avtorizatsiya qilishda provayder va identifikatsiya tizimi o'rtasida shaffof aloqa uchun LDAP (Lightweight Directory Access Protocol) va SAML (Security Assertion Markup Language) dan foydalanish tavsiya etiladi. Bundan tashqari, virtual tarmoqlar VPN (Virtual Private Network), VLAN (Virtual Local Area Network) VPLS (Virtual Private LAN Service) kabi texnologiyalar yordamida joylashtirilishi kerak.

Fanlar bo'yicha kurs ishi

Axborot xavfsizligini ta'minlash uchun dasturiy ta'minot va apparat vositalari

"Bulutli hisoblashda axborot xavfsizligi: zaifliklar, himoya qilish usullari va vositalari, audit va hodisalarni tekshirish vositalari".

Kirish

1. Tarix va asosiy rivojlanish omillari

2. Bulutli hisoblashning ta'rifi

3. Malumot arxitekturasi

4. Xizmat ko'rsatish darajasi bo'yicha kelishuv

5. Bulutli hisoblashda himoya qilish usullari va vositalari

6. Bulutli modellarning xavfsizligi

7. Xavfsizlik auditi

8. Bulutli hisoblashda hodisalar va sud-tibbiyotni tekshirish

9. Tahdid modeli

10. Xalqaro va mahalliy standartlar

11. Ma'lumotlarning hududiy o'ziga xosligi

12. Davlat standartlari

13. Bulutli xavfsizlik vositalari

14. Amaliy qism

Chiqish

Adabiyot

Kirish

Bulutli hisoblashning o'sib borayotgan tezligi mijozning qimmat kompyuterlarni sotib olish, o'rnatish va texnik xizmat ko'rsatishga hojat qoldirmasdan, ozgina, umuman olganda, pul evaziga talab qilinadigan unumdorlikka ega eng ishonchli infratuzilmaga kirishi bilan izohlanadi.Tizim 99,9% ga etadi. , bu ham hisoblash resurslarini tejaydi. ... Va eng muhimi - deyarli cheksiz miqyoslash imkoniyatlari. Muntazam xostingni sotib olish va boshingizdan sakrab o'tishga harakat qilish (yukning keskin ko'tarilishi bilan), bir necha soat davomida tushib ketgan xizmatni olish xavfi mavjud. Bulutda qo'shimcha resurslar so'rov bo'yicha mavjud.

Bulutli hisoblashning asosiy muammosi qayta ishlangan axborot xavfsizligining kafolatlanmagan darajasi, resurslarni himoya qilish darajasi va ko'pincha umuman yo'q normativ-huquqiy bazadir.

Tadqiqotning maqsadi mavjud bulutli hisoblash bozori va ularda xavfsizlikni ta'minlash vositalari haqida umumiy ma'lumot berishdan iborat bo'ladi.

bulutli hisoblash xavfsizligi ma'lumotlari

1. Tarix va asosiy rivojlanish omillari

Bugungi kunda biz bulutli hisoblash deb ataydigan g'oya birinchi marta 1970 yilda J. C. R. Liklider tomonidan aytilgan. Bu yillarda u ARPANET (Advanced Research Projects Agency Network) ni yaratish uchun mas'ul edi. Uning g'oyasi shundaki, er yuzidagi har bir inson tarmoqqa ulanadi, undan u nafaqat ma'lumotlarni, balki dasturlarni ham oladi. Boshqa bir olim Jon Makkarti hisoblash quvvati foydalanuvchilarga xizmat (xizmat) sifatida taqdim etilishi haqidagi fikrni ilgari surdi. Shu sababli, bulutli texnologiyalarning rivojlanishi 90-yillarga qadar to'xtatildi, shundan keyin uning rivojlanishiga bir qator omillar yordam berdi.

90-yillarda Internet o'tkazish qobiliyatining kengayishi bulutli texnologiya rivojlanishida sezilarli sakrashga imkon bermadi, chunki o'sha davrning deyarli hech bir kompaniyasi va texnologiyasi bunga tayyor emas edi. Biroq, Internetning tezlashishi faktining o'zi bulutli hisoblashning dastlabki rivojlanishiga turtki bo'ldi.

2. Ushbu sohadagi eng muhim voqealardan biri 1999 yilda Salesforce.com ning paydo bo'lishi edi. Ushbu kompaniya sayt orqali o'z ilovasiga kirishni ta'minlagan birinchi kompaniya bo'ldi. Aslida, bu kompaniya o'z dasturiy ta'minotini xizmat sifatida dasturiy ta'minot (SaaS) asosida taqdim etgan birinchi kompaniya bo'ldi.

Keyingi qadam 2002 yilda Amazon tomonidan bulutli veb-xizmatni ishlab chiqish edi. Ushbu xizmat ma'lumotlarni saqlash va hisob-kitoblarni amalga oshirish imkonini berdi.

2006 yilda Amazon o'z foydalanuvchilariga o'z ilovalarini ishga tushirish imkonini beruvchi veb-xizmat sifatida Elastic Compute cloud (EC2) deb nomlangan xizmatni ishga tushirdi. Amazon EC2 va Amazon S3 birinchi bulutli hisoblash xizmatlari edi.

Bulutli hisoblashning yana bir muhim bosqichi Google kompaniyasining biznes sohasida veb-ilovalar uchun Google Apps platformasini yaratishi bilan bog'liq.

Virtualizatsiya texnologiyalari bulutli texnologiyalarni, xususan, virtual infratuzilmani yaratish imkonini beruvchi dasturiy ta’minotni rivojlantirishda katta rol o‘ynadi.

Uskunaning rivojlanishi bulutli texnologiyalarning tez o'sishiga emas, balki kichik biznes va jismoniy shaxslar uchun ushbu texnologiyaning mavjudligiga yordam berdi. Texnik taraqqiyotga kelsak, bunda ko'p yadroli protsessorlarni yaratish va axborotni saqlash qurilmalari sig'imini oshirish muhim rol o'ynadi.

2. Bulutli hisoblashning ta'rifi

AQSh Milliy standartlar va texnologiyalar instituti tomonidan aniqlanganidek:

Bulutli hisoblash (Bulutli hisoblash) (InglizBulut - bulut; hisoblash- hisoblash) - minimal boshqaruv harakati bilan tezda ta'minlanishi va chiqarilishi mumkin bo'lgan va o'zaro ta'sirga muhtoj bo'lgan sozlanishi mumkin bo'lgan hisoblash resurslarining umumiy hovuziga (masalan, tarmoqlar, serverlar, saqlash tizimlari, ilovalar va xizmatlar) kerak bo'lganda hamma joyda va qulay tarmoqqa kirishni ta'minlash modeli. xizmat ko'rsatuvchi provayder (xizmat ko'rsatuvchi provayder) bilan.

Bulut modeli yuqori xizmatlar mavjudligini qo'llab-quvvatlaydi va beshta muhim xususiyat, uchta xizmat modeli va to'rtta joylashtirish modeli bilan tavsiflanadi.

Dasturlar ishga tushiriladi va ish natijalarini mahalliy shaxsiy kompyuterda standart veb-brauzer oynasida ko'rsatadi, shu bilan birga ish uchun zarur bo'lgan barcha ilovalar va ularning ma'lumotlari Internetdagi masofaviy serverda joylashgan. Bulutli hisoblash "bulutli hisoblash" deb ataladi. Bunday holda, "hisoblash buluti" ga kiritilgan kompyuterlar orasidagi yuk avtomatik ravishda taqsimlanadi. Bulutli hisoblashning eng oddiy misoli p2p tarmoqlaridir.

Bulutli hisoblashni amalga oshirish uchun maxsus texnologiyalar yordamida yaratilgan o'rta dastur mahsulotlari qo'llaniladi. Ular asbob-uskunalar va foydalanuvchi o'rtasida oraliq bo'g'in bo'lib xizmat qiladi va asbob-uskunalar va dasturlarning holatini kuzatishni, yukni teng taqsimlashni va umumiy hovuzdan resurslarni o'z vaqtida ta'minlashni ta'minlaydi. Ushbu texnologiyalardan biri hisoblashda virtualizatsiyadir.

Hisoblashda virtualizatsiya- hisoblash resurslari to'plamini yoki ularning mantiqiy kombinatsiyasini ifodalash jarayoni, bu dastlabki konfiguratsiyaga nisbatan har qanday afzalliklarni beradi. Bu amalga oshirish, jismoniy konfiguratsiya yoki geografik joylashuv bilan cheklanmagan tarkibiy qismlar resurslarining yangi virtual ko'rinishi. Odatda virtuallashtirilgan resurslarga hisoblash quvvati va ma'lumotlarni saqlash kiradi. Ilmiy nuqtai nazardan virtualizatsiya hisoblash jarayonlari va resurslarini bir-biridan ajratishdir.

Virtualizatsiyaga misol sifatida bir nechta protsessorlardan foydalanadigan simmetrik ko'p protsessorli kompyuter arxitekturasini keltirish mumkin. Operatsion tizimlar odatda shunday tuzilganki, bir nechta protsessorlar bitta protsessor sifatida paydo bo'ladi. Shuning uchun dasturiy ilovalar bitta mantiqiy ( virtual) hisoblash moduli, bu ko'p sonli turli xil protsessor konfiguratsiyasi bilan ishlashdan ko'ra ancha oson.

Ayniqsa katta va resurs talab qiladigan hisob-kitoblar uchun grid hisoblari qo'llaniladi.

Grid hisoblash (panjara - panjara, tarmoq) - taqsimlangan hisoblashning bir shakli bo'lib, unda "virtual superkompyuter" juda ko'p sonli vazifalarni (operatsiyalar, ishlarni) bajarish uchun birgalikda ishlaydigan tarmoqqa ulangan, erkin bog'langan, heterojen kompyuterlar klasterlari sifatida taqdim etiladi.

Ushbu texnologiya katta hisoblash resurslarini talab qiladigan ilmiy va matematik muammolarni hal qilish uchun ishlatiladi. Iqtisodiy prognozlash, seysmik tahlil, yangi dori vositalarining xossalarini ishlab chiqish va o‘rganish kabi ko‘p vaqt talab qiluvchi vazifalarni hal qilish uchun tarmoq infratuzilmasida ham tarmoq hisoblashlari qo‘llaniladi.

Tarmoqli tashkilot nuqtai nazaridan, tarmoq yagona virtual tashkilot ichida ushbu muhitning bir qismi bo'lgan hisoblash va saqlash resurslarini moslashuvchan, xavfsiz, muvofiqlashtirilgan ajratishni ta'minlaydigan izchil, ochiq va standartlashtirilgan muhitdir.

Paravirtualizatsiya Virtual mashinalarni asosiy uskunaga o'xshash, lekin bir xil bo'lmagan dasturlash interfeysi bilan ta'minlaydigan virtualizatsiya usuli. Ushbu o'zgartirilgan interfeysning maqsadi virtual bo'lmagan muhitga qaraganda virtual muhitda bajarish ancha qiyin bo'lgan operatsiyalarni bajarish uchun mehmon operatsion tizimi tomonidan sarflangan vaqtni qisqartirishdir.

Mehmon va uy egasiga virtual muhitda bajarilishi mumkin bo'lgan, ammo sezilarli darajada sekinroq bo'lgan ushbu murakkab vazifalarni so'rash va tan olish imkonini beradigan maxsus "ilgaklar" mavjud.

Gipervisor ( yoki Virtual mashina monitori) - kompyuterlarda bir xil asosiy kompyuterda bir nechta yoki hatto ko'p operatsion tizimlarning bir vaqtning o'zida parallel bajarilishini ta'minlaydigan yoki imkon beradigan dastur yoki apparat sxemasi. Gipervisor shuningdek, operatsion tizimni bir-biridan izolyatsiya qilish, himoya va xavfsizlik, turli ishlayotgan OTlar o'rtasida resurslar almashinuvi va resurslarni boshqarishni ta'minlaydi.

Gipervizor xuddi shu asosiy kompyuterda ishlayotgan OTni bir-biri bilan aloqa va o'zaro ta'sir qilish vositalari (masalan, fayl almashinuvi yoki tarmoq ulanishlari orqali) bilan ta'minlashi mumkin (lekin shart emas), go'yo bu operatsion tizimlar turli jismoniy qurilmalarda ishlayotgandek. kompyuterlar.

Gipervisorning o'zi qaysidir ma'noda minimal operatsion tizim (mikroyadro yoki nanoyadro). U o'z nazorati ostida ishlaydigan operatsion tizimlarni virtual mashina xizmati bilan ta'minlaydi, ma'lum bir mashinaning haqiqiy (jismoniy) apparatini virtualizatsiya qiladi yoki taqlid qiladi va bu virtual mashinalarni boshqaradi, ular uchun resurslarni ajratadi va bo'shatadi. Gipervisor ma'lum bir operatsion tizimga ega virtual mashinalarning istalganini mustaqil ravishda "yoqish", qayta ishga tushirish, "o'chirish" imkonini beradi. Biroq, gipervisor boshqaruvi ostidagi virtual mashinada ishlaydigan operatsion tizim haqiqiy apparatda emas, balki virtual mashinada ishlayotganini "bilishi" mumkin, lekin shart emas.

Bulutli xizmat modellari

Hisoblash quvvatini ta'minlash imkoniyatlari juda xilma-xildir. Bulutli hisoblash bilan bog'liq hamma narsa odatda aaS deb ataladi - u oddiygina "xizmat sifatida", ya'ni "xizmat sifatida" yoki "xizmat ko'rinishida" degan ma'noni anglatadi.

Xizmat sifatida dasturiy ta'minot (SaaS) - provayder mijozga foydalanishga tayyor dasturni taqdim etadi. Ilovalarga turli xil mijoz qurilmalaridan yoki veb-brauzer (masalan, veb-pochta) yoki dastur interfeyslari kabi nozik mijoz interfeyslari orqali kirish mumkin. Shu bilan birga, iste'molchi asosiy bulut infratuzilmasini, shu jumladan tarmoqlarni, serverlarni, operatsion tizimlarni, saqlash tizimlarini va hatto ba'zi foydalanuvchi ilovalari konfiguratsiya sozlamalari bundan mustasno individual dastur sozlamalarini nazorat qilmaydi.

SaaS modelida mijozlar dasturiy ta'minotga egalik qilish uchun emas, balki uni ijaraga olish (ya'ni, veb-interfeys orqali foydalanish) uchun to'laydi. Shunday qilib, dasturiy ta'minotni litsenziyalashning klassik sxemasidan farqli o'laroq, mijoz nisbatan kichik takroriy xarajatlarga duchor bo'ladi va u dasturiy ta'minotni sotib olish va uni qo'llab-quvvatlash uchun katta mablag' sarflashi shart emas. Davriy to'lov sxemasi, agar dasturiy ta'minotga ehtiyoj vaqtinchalik bo'lmasa, mijoz undan foydalanishni to'xtatib qo'yishi va ishlab chiquvchiga to'lovlarni muzlatib qo'yishi mumkinligini nazarda tutadi.

Ishlab chiquvchi nuqtai nazaridan, SaaS modeli dasturiy ta'minotdan litsenziyasiz foydalanish (qaroqchilik) bilan samarali kurashish imkonini beradi, chunki dasturiy ta'minotning o'zi yakuniy mijozlarga etib bormaydi. Bundan tashqari, SaaS kontseptsiyasi ko'pincha axborot tizimlarini joylashtirish va joriy qilish xarajatlarini kamaytirishi mumkin.

Guruch. 1 Oddiy SaaS tartibi

Platforma xizmat sifatida (PaaS) - provayder mijozga dasturiy platforma va foydalanuvchi ilovalarini loyihalash, ishlab chiqish, sinovdan o‘tkazish va joylashtirish vositalarini taklif etadi. Iste'molchi asosiy bulut infratuzilmasini, shu jumladan tarmoqlar, serverlar, operatsion tizimlar va saqlash tizimlari ustidan nazoratga ega emas, lekin o'rnatilgan ilovalarni va, ehtimol, hosting muhitining ba'zi konfiguratsiya parametrlarini nazorat qiladi.

Guruch. 2 Oddiy PaaS tartibi

Infratuzilma xizmat sifatida (IaaS). - provayder mijozga ijaraga hisoblash resurslarini taklif qiladi: serverlar, saqlash tizimlari, tarmoq uskunalari, operatsion tizimlar va tizim dasturlari, virtualizatsiya tizimlari, resurslarni boshqarish tizimlari. Shu bilan birga, iste'molchi asosiy bulut infratuzilmasini nazorat qilmaydi, lekin operatsion tizimlar, saqlash tizimlari, o'rnatilgan ilovalar va, ehtimol, tarmoq komponentlarini tanlashda cheklangan nazoratga ega (masalan, xavfsizlik devori bo'lgan xost).

Guruch. 3 Odatda IaaS tartibi

Qo'shimcha kabi xizmatlarni ajratib ko'rsatish:

Xizmat sifatida aloqa (Com-aaS) - aloqa xizmatlari xizmat sifatida taqdim etilishi tushuniladi; Odatda bu IP telefoniya, pochta va tezkor aloqa (chatlar, IM).

Bulutli ma'lumotlarni saqlash- foydalanuvchiga ma'lumotni saqlash uchun ma'lum miqdorda joy ajratilgan. Ma'lumotlar taqsimlangan va takrorlangan holda saqlanganligi sababli, bunday saqlashlar mahalliy serverlarga qaraganda ancha yuqori darajadagi ma'lumotlar xavfsizligini ta'minlaydi.

Ish joyi xizmat sifatida (WaaS) - ixtiyorida yetarlicha kuchli kompyuterga ega boʻlmagan foydalanuvchi yetkazib beruvchidan hisoblash resurslarini sotib olishi va xizmatdan foydalanish uchun oʻz shaxsiy kompyuteridan terminal sifatida foydalanishi mumkin.

Antivirus bulut- yangi, ilgari noma'lum bo'lgan tahdidlarni o'z vaqtida aniqlash uchun foydalanuvchilardan keladigan ma'lumotlarni qayta ishlash uchun ishlatiladigan infratuzilma. Bulutli antivirus foydalanuvchidan hech qanday keraksiz harakatlarni talab qilmaydi - u shunchaki shubhali dastur yoki havola uchun so'rov yuboradi. Xavf tasdiqlangach, barcha kerakli harakatlar avtomatik ravishda amalga oshiriladi.

Joylashtirish modellari

Joylashtirish modellari orasida infratuzilmaning 4 ta asosiy turi mavjud.

Shaxsiy bulut - bitta tashkilot, shu jumladan bir nechta iste'molchilar (masalan, bitta tashkilotning bo'linmalari), ehtimol ushbu tashkilotning mijozlari va pudratchilari tomonidan foydalanish uchun mo'ljallangan infratuzilma. Xususiy bulut tashkilotning o'zi yoki uchinchi tomon (yoki ularning kombinatsiyasi) tomonidan egalik qilishi, boshqarilishi va boshqarilishi mumkin va u jismoniy jihatdan egasining yurisdiktsiyasida ham, tashqarisida ham mavjud bo'lishi mumkin.

Guruch. 4 Shaxsiy bulut.

Umumiy bulut - keng jamoatchilik tomonidan bepul foydalanish uchun mo'ljallangan infratuzilma. Ommaviy bulut tijorat, akademik va davlat tashkilotlariga (yoki ularning har qanday birikmasiga) egalik qilishi, boshqarilishi va boshqarilishi mumkin. Ommaviy bulut jismonan egasining yurisdiksiyasida - xizmat ko'rsatuvchi provayderda mavjud.

Guruch. 5 Umumiy bulut.

Gibrid bulut - bu noyob ob'ektlar bo'lib qoladigan, lekin ma'lumotlar va ilovalarni uzatish uchun standartlashtirilgan yoki xususiy texnologiyalar bilan o'zaro bog'langan ikki yoki undan ortiq turli xil bulutli infratuzilmalarning (xususiy, jamoat yoki ommaviy) kombinatsiyasi (masalan, muvozanat uchun umumiy bulut resurslaridan qisqa muddatli foydalanish). bulutlar orasidagi yuk).

Guruch. 6 Gibrid bulut.

Umumiy bulut (jamoa buluti) - umumiy maqsadlarga ega (masalan, missiya, xavfsizlik talablari, siyosatlar va turli talablarga muvofiqlik) tashkilotlarning ma'lum bir iste'molchilar jamoasi tomonidan foydalanish uchun mo'ljallangan infratuzilma turi. Ommaviy bulut bir yoki bir nechta jamoat tashkilotlari yoki uchinchi tomon (yoki ularning kombinatsiyasi) tomonidan birgalikda egalik qilishi, boshqarilishi va boshqarilishi mumkin va u jismoniy jihatdan egasining yurisdiktsiyasida ham, tashqarisida ham mavjud bo'lishi mumkin.

Guruch. 7 Bulut xususiyatlarining tavsifi

Asosiy xususiyatlar

NIST oʻzining “NIST taʼrifi bulutli hisoblash” hujjatida bulutlarning quyidagi xususiyatlarini belgilaydi:

Talab bo'yicha o'z-o'ziga xizmat ko'rsatish. Iste'molchi taqdim etilgan hisoblash resurslariga kerak bo'lganda bir tomonlama, avtomatik ravishda, har bir xizmat ko'rsatuvchi provayder xodimlari bilan o'zaro aloqada bo'lmasdan foydalanish imkoniyatiga ega.

Keng tarmoqqa kirish. Taqdim etilgan hisoblash resurslari tarmoq orqali turli platformalar, nozik va qalin mijozlar (mobil telefonlar, planshetlar, noutbuklar, ish stantsiyalari va boshqalar) uchun standart mexanizmlar orqali mavjud.

Resurslarni birlashtirish (Resurslarni birlashtirish). Provayderning hisoblash resurslari ko'p ijarachi modelida ko'plab iste'molchilarga xizmat ko'rsatish uchun birlashtirilgan. Hovuzlar mijozlar ehtiyojlarini qondirish uchun dinamik ravishda tayinlanishi va qayta tayinlanishi mumkin bo'lgan turli xil jismoniy va virtual resurslarni o'z ichiga oladi. Iste'molchi resurslarning aniq joylashuvini bilishi shart emas, lekin ular mavhumlikning yuqori darajasida joylashgan bo'lishi mumkin (masalan, mamlakat, mintaqa yoki ma'lumotlar markazi). Ushbu turdagi resurslarga misol sifatida saqlash tizimlari, hisoblash quvvati, xotira, tarmoq o'tkazish qobiliyati kiradi.

Tez elastiklik. Resurslar elastik ravishda taqsimlanishi va ba'zi hollarda avtomatik ravishda, talabga muvofiq tez miqyosda chiqarilishi mumkin. Iste'molchi uchun resurslarni ta'minlash imkoniyatlari cheksiz deb hisoblanadi, ya'ni ular istalgan miqdorda va istalgan vaqtda berilishi mumkin.

O'lchovli xizmat. Bulutli tizimlar turli xil xizmatlar uchun (masalan, tashqi xotira, ishlov berish, tarmoqli kengligi yoki faol foydalanuvchi seanslarini boshqarish) abstraksiya darajasida amalga oshirilgan o'lchov vositalaridan foydalangan holda resurslarni avtomatik ravishda boshqaradi va optimallashtiradi. Foydalanilgan resurslarni kuzatish va boshqarish mumkin, bu esa shaffoflikni ta'minlaydi. provayder va xizmatdan foydalanuvchi iste'molchi uchun.

Guruch. 8 Bulutli serverning strukturaviy diagrammasi

Bulutli hisoblashning ijobiy va salbiy tomonlari

Qadr-qimmat

· Shaxsiy kompyuterning hisoblash quvvatiga qo'yiladigan talablar kamayadi (ajralmas shart faqat Internetga kirishning mavjudligi);

· xatolarga chidamlilik;

· xavfsizlik;

· Ma'lumotlarni qayta ishlashning yuqori tezligi;

· Uskuna va dasturiy ta'minot, texnik xizmat ko'rsatish va elektr energiyasi uchun xarajatlarni kamaytirish;

· Disk maydonini tejash (ma'lumotlar ham, dasturlar ham Internetda saqlanadi).

· Jonli migratsiya - virtual mashinani bir jismoniy serverdan ikkinchisiga virtual mashinani to'xtatmasdan va xizmatlarni to'xtatmasdan o'tkazish.

· 2010-yil oxirida WikiLeaks’ga resurslarni taqdim etishdan bosh tortgan kompaniyalarga DDoS hujumlari tufayli bulutli hisoblashning yana bir afzalligi aniqlandi. WikiLeaks’ga qarshi chiqqan barcha kompaniyalar hujumga uchradi, biroq faqat Amazon bulutli hisoblashlardan foydalangani uchun bu ta’sirlardan himoyalangan edi. ("Anonim: jiddiy tahdid yoki oddiy bezovtalik", Tarmoq xavfsizligi, N1, 2011).

kamchiliklari

· Foydalanuvchi ma'lumotlari xavfsizligining bulutli hisoblash xizmatlarini ko'rsatuvchi kompaniyalarga bog'liqligi;

· Tarmoqqa doimiy ulanish - "bulut" xizmatlaridan foydalanish uchun Internetga doimiy ulanish kerak. Biroq, bizning davrimizda, ayniqsa, 3G va 4G uyali aloqa texnologiyalarining paydo bo'lishi bilan bu juda katta kamchilik emas.

· Dasturiy ta'minot va uning modifikatsiyasi - "bulutlar" ga joylashtiriladigan va foydalanuvchiga taqdim etilishi mumkin bo'lgan dasturiy ta'minotga cheklovlar mavjud. Dasturiy ta'minot foydalanuvchisi foydalaniladigan dasturiy ta'minotda cheklovlarga ega va ba'zida uni o'z maqsadlari uchun sozlash imkoniyatiga ega emas.

· Maxfiylik – ommaviy “bulutlar”da saqlanadigan ma’lumotlarning maxfiyligi hozirda ko‘p munozaralarga sabab bo‘lmoqda, biroq aksariyat hollarda mutaxassislar kompaniya uchun eng qimmatli hujjatlarni ommaviy “bulut”da saqlash tavsiya etilmaydi, degan fikrga qo‘shiladilar, chunki hozirda saqlangan ma'lumotlarning 100% maxfiyligini kafolatlaydigan texnologiya yo'q, shuning uchun bulutda shifrlashdan foydalanish shart.

· Ishonchlilik - saqlangan ma'lumotlarning ishonchliligiga kelsak, biz ishonch bilan aytishimiz mumkinki, agar siz "bulut"da saqlangan ma'lumotni yo'qotgan bo'lsangiz, unda siz uni abadiy yo'qotgansiz.

· Xavfsizlik - "bulut"ning o'zi ancha ishonchli tizimdir, ammo unga kirib borganida, tajovuzkor katta ma'lumotlar omboriga kirish huquqiga ega bo'ladi.Yana bir kamchilik - virtualizatsiya tizimlaridan foydalanish bo'lib, ular gipervisor sifatida standart OT yadrolaridan foydalanadilar, masalan. Viruslardan foydalanishga imkon beruvchi Linux, Windows va boshqalar.

· Uskunaning yuqori narxi - o'z bulutini yaratish uchun kompaniya muhim moddiy resurslarni ajratishi kerak, bu yangi tashkil etilgan va kichik kompaniyalar uchun foydali emas.

3. Malumot arxitekturasi

NIST Cloud Computing Reference Architecture tarkibida beshta asosiy aktyor - aktyorlar mavjud. Har bir aktyor o'z rolini o'ynaydi va harakat va funktsiyalarni bajaradi. Malumot arxitekturasi tafsilotlar darajasi ortib borayotgan ketma-ket diagrammalar sifatida taqdim etiladi.

Guruch. 9 Malumot arxitekturasining konseptual diagrammasi

Bulutli iste'molchi- biznes aloqalarini qo'llab-quvvatlovchi va bulutli provayderlar xizmatlaridan foydalanadigan shaxs yoki tashkilot.

Bulutli iste'molchilar 3 guruhga bo'lingan:

· SaaS - biznes jarayonlarini avtomatlashtirish uchun ilovalardan foydalanadi.

PaaS - bulutli muhitda o'rnatilgan ilovalarni ishlab chiqadi, sinovdan o'tkazadi, joylashtiradi va boshqaradi.

· IaaS - IT infratuzilma xizmatlarini yaratadi, boshqaradi.

Bulutli provayder- bulutli iste'molchilar uchun bulut xizmati mavjudligi uchun mas'ul shaxs, tashkilot yoki yuridik shaxs.

SaaS - bulutli infratuzilmada o'rnatilgan dasturiy ta'minotni o'rnatadi, boshqaradi, ta'minlaydi va etkazib beradi.

PaaS - bulutli infratuzilma va o'rta dasturni ta'minlaydi va boshqaradi. Rivojlanish va boshqaruv vositalarini taqdim etadi.

· IaaS - serverlar, ma'lumotlar bazalari, hisoblash resurslari bilan ta'minlaydi va ularga xizmat ko'rsatadi. Iste'molchiga bulutli tuzilmani taqdim etadi.

Bulutli provayderlarning faoliyati 5 ta asosiy tipik harakatlarga bo'lingan:

Xizmatni joylashtirish:

o Shaxsiy bulut - bitta tashkilot tomonidan xizmat ko'rsatiladi. Infratuzilma ham tashkilotning o'zi, ham uchinchi tomon tomonidan boshqariladi va Provayder (joydan tashqari) va tashkilot (joyida) tomonidan joylashtirilishi mumkin.

o Umumiy bulut - infratuzilma bir xil talablarga ega (xavfsizlik, RDga muvofiqlik) bir nechta tashkilotlar tomonidan taqsimlanadi.

o Umumiy bulut - infratuzilma turli talablarga ega bo'lgan ko'plab tashkilotlar tomonidan qo'llaniladi. Faqat binodan tashqarida.

o Gibrid bulut - infratuzilma o'xshash texnologiyalar asosida turli infratuzilmalarni birlashtiradi.

Xizmatni boshqarish

o Xizmat darajasi - Provayder tomonidan taqdim etiladigan asosiy xizmatlarni belgilaydi.

§ SaaS - bu Iste'molchi tomonidan maxsus dasturlardan bulutga kirish orqali foydalaniladigan dastur.

§ PaaS - iste'molchi ilovalari, ishlab chiqish va boshqarish vositalari uchun konteynerlar.

§ IaaS - hisoblash quvvati, ma'lumotlar bazalari, asosiy resurslar, buning ustiga Iste'molchi o'z infratuzilmasini joylashtiradi.

o Abstraktsiya va resurslarni boshqarish darajasi

§ Infratuzilmani amalga oshirish uchun zarur bo'lgan gipervisor va virtual komponentlarni boshqarish.

o Jismoniy resurslar darajasi

§ Kompyuter uskunalari

§ Muhandislik infratuzilmasi

o Mavjudligi

o Maxfiylik

o Identifikatsiya

o Xavfsizlik monitoringi va hodisalarni boshqarish

o Xavfsizlik siyosati

Maxfiylik

o Shaxsiy ma'lumotlarni qayta ishlash, saqlash va uzatishni himoya qilish.

Bulutli auditor- Bulutli xizmatlar, axborot tizimlariga texnik xizmat ko'rsatish, bulutni amalga oshirish samaradorligi va xavfsizligini mustaqil ravishda baholay oladigan hissa qo'shuvchi.

U tasdiqlangan hujjatlarga muvofiq xavfsizlik, maxfiylik, ishlash va boshqa narsalarga o'z bahosini berishi mumkin.

Guruch. 10 Provayder faoliyati

Bulutli broker- bulutli xizmatlardan foydalanish, ishlash va yetkazib berishni boshqaradigan hamda Provayderlar va Iste'molchilar o'rtasidagi munosabatlarni o'rnatuvchi sub'ekt.

Bulutli hisoblashning rivojlanishi bilan bulutli xizmatlarning integratsiyasi iste'molchi uchun juda qiyin bo'lishi mumkin.

o Xizmat vositachiligi - ko'rsatilgan xizmatni kengaytirish va yangi imkoniyatlarni taqdim etish

o Agregatsiya - Iste'molchini taqdim etish uchun turli xizmatlarni birlashtirish

Bulutli aloqa operatori- Provayderlardan iste'molchilarga bulut xizmatlarini ulash va transport (aloqa xizmatlari) yetkazib berish xizmatlarini ko'rsatuvchi vositachi.

Aloqa qurilmalari orqali kirishni ta'minlaydi

SLAga muvofiq ulanish darajasini ta'minlaydi.

Taqdim etilgan besh aktyor orasida bulutli broker ixtiyoriy, chunki bulutli iste'molchilar xizmatlarni to'g'ridan-to'g'ri bulutli provayderdan olishlari mumkin.

Aktyorlarning kiritilishi sub'ektlar o'rtasidagi munosabatlarni ishlab chiqish zarurati bilan bog'liq.

4. Xizmat ko'rsatish darajasi bo'yicha kelishuv

Xizmat koʻrsatish darajasi toʻgʻrisidagi kelishuv - bu maʼlum bir xizmatga nisbatan qoʻllaniladigan koʻrsatkichlar asosida mijoz tomonidan yetkazib beruvchidan kutilayotgan xizmatlar koʻrsatish darajasini tavsiflovchi va kelishilgan koʻrsatkichlar bajarilmasa, provayderning javobgarligini belgilovchi hujjat.

Operator hujjatlarida u yoki bu shakldagi ba'zi ko'rsatkichlar mavjud:

ASR (Answer Seizure Ratio) - ma'lum bir yo'nalishda telefon aloqasi sifatini belgilovchi parametr. ASR qo'ng'iroqlar natijasida o'rnatilgan telefon aloqalari sonining ma'lum bir yo'nalishda qilingan qo'ng'iroqlarning umumiy soniga foizi sifatida hisoblanadi.

PDD (Post Dial Delay) - qo'ng'iroq qilingan paytdan boshlab telefon aloqasi o'rnatilgan vaqtgacha o'tgan vaqtni (sekundlarda) belgilovchi parametr.

Xizmatning mavjudligi nisbati- xizmatlar ko'rsatishdagi uzilish vaqtining xizmat ko'rsatilishi kerak bo'lgan umumiy vaqtga nisbati.

Paketni yo'qotish nisbati- to'g'ri qabul qilingan ma'lumotlar paketlarining ma'lum vaqt davomida tarmoq orqali uzatilgan paketlarning umumiy soniga nisbati.

Axborot paketlarini uzatishda kechikishlar- ikkita tarmoq qurilmasi o'rtasida ma'lumot paketini uzatish uchun zarur bo'lgan vaqt oralig'i.

Axborot uzatishning ishonchliligi- noto'g'ri uzatilgan ma'lumotlar paketlari sonining uzatilgan ma'lumotlar paketlarining umumiy soniga nisbati.

Ishlash muddatlari, abonentlarni xabardor qilish vaqti va xizmatlarni tiklash vaqti.

Boshqacha qilib aytadigan bo'lsak, xizmatning 99,99% mavjudligi operatorning oyiga 4,3 daqiqadan ko'p bo'lmagan aloqa uzilishlarini, 99,9% - xizmat 43,2 daqiqa davomida ko'rsatilmasligini va 99% - tanaffus 7 daqiqadan ortiq davom etishini kafolatlashini anglatadi. soat. Ba'zi amaliyotlarda tarmoq mavjudligining farqlanishi mavjud va parametrning past qiymati qabul qilinadi - ish vaqtidan tashqari. Turli xil xizmatlar (trafik sinflari) uchun ko'rsatkichlarning turli qiymatlari ham taqdim etiladi. Masalan, ovoz uchun eng muhim narsa kechikish tezligi - bu minimal bo'lishi kerak. Va uning tezligi past bo'lishi kerak, shuningdek, paketlarning bir qismi sifatni yo'qotmasdan yo'qolishi mumkin (kodekga qarab taxminan 1% gacha). Ma'lumot uzatish uchun tezlik birinchi o'rinda turadi va paketlarning yo'qolishi nolga teng bo'lishi kerak.

5. Bulutli hisoblashda himoya qilish usullari va vositalari

Maxfiylik butun zanjir bo'ylab, shu jumladan bulutli provayder, iste'molchi va ularni bog'laydigan aloqalarni ta'minlashi kerak.

Provayderning vazifasi uchinchi shaxslarning hujumlaridan ma'lumotlarning jismoniy va dasturiy yaxlitligini ta'minlashdan iborat. Iste'molchi ma'lumotlarga kirish huquqini uchinchi shaxslarga berishni istisno qilish uchun "o'z hududida" tegishli siyosat va tartiblarni joriy qilishi kerak.

Alohida "bulutli" ilovalardan foydalanganda ma'lumotlarning yaxlitligini ta'minlash vazifalari - zamonaviy ma'lumotlar bazasi arxitekturalari, zaxira tizimlari, yaxlitlikni tekshirish algoritmlari va boshqa sanoat echimlari tufayli hal qilinishi mumkin. Lekin bu hammasi emas. Turli sotuvchilardan bir nechta bulutli ilovalarni integratsiya qilish haqida gap ketganda, yangi muammolar paydo bo'lishi mumkin.

Yaqin kelajakda xavfsiz virtual muhitni qidirayotgan kompaniyalar uchun yagona variant xususiy bulut tizimini yaratishdir. Gap shundaki, xususiy bulutlar ommaviy yoki gibrid tizimlardan farqli o'laroq, yirik korporatsiyalarning IT bo'limlari allaqachon amalga oshirishni o'rgangan va ular ustidan to'liq nazoratni ushlab turishi mumkin bo'lgan virtuallashtirilgan infratuzilmalarga juda o'xshash. Ommaviy bulut tizimlarida axborot xavfsizligi kamchiliklari katta muammo tug'diradi. Ko'pincha o'g'irlik hodisalari ommaviy bulutlarda sodir bo'ladi.

6. Bulutli modellarning xavfsizligi

Uchta bulutli modeldagi xavf darajasi juda farq qiladi va xavfsizlik muammolarini hal qilish usullari ham o'zaro ta'sir darajasiga qarab farqlanadi. Xavfsizlik talablari bir xil bo'lib qoladi, lekin xavfsizlikni nazorat qilish darajasi turli modellarda, SaaS, PaaS yoki IaaSda o'zgaradi. Mantiqiy nuqtai nazardan, hech narsa o'zgarmaydi, lekin jismoniy amalga oshirish imkoniyatlari tubdan farq qiladi.

Guruch. 11. Axborot xavfsizligining eng dolzarb tahdidlari

SaaS modelida dastur bulutli infratuzilmada ishlaydi va unga veb-brauzer orqali kirish mumkin. Mijoz tarmoq, serverlar, operatsion tizimlar, saqlash va hatto ba'zi ilovalar imkoniyatlarini nazorat qila olmaydi. Shu sababli, SaaS modelida xavfsizlik uchun asosiy javobgarlik deyarli butunlay sotuvchilarga tushadi.

Muammo raqami 1 - parolni boshqarish. SaaS modelida ilovalar bulutda joylashgan, shuning uchun asosiy xavf ilovalarga kirish uchun bir nechta hisoblardan foydalanishdir. Tashkilotlar ushbu muammoni bulutli va mahalliy tizimlar uchun hisoblarni birlashtirish orqali hal qilishlari mumkin. Yagona tizimga kirish bilan foydalanuvchilar bitta hisobdan foydalanib ish stantsiyalari va bulut xizmatlariga kirishlari mumkin. Ushbu yondashuv xodimlar ishdan bo'shatilgandan so'ng ruxsatsiz foydalanish uchun "tiqilib qolgan" hisoblar ehtimolini kamaytiradi.

CSA tushuntirishiga ko'ra, PaaS mijozlar sotuvchilar tomonidan qo'llab-quvvatlanadigan dasturlash tillari va vositalaridan foydalangan holda ilovalar yaratishini va keyin ularni bulut infratuzilmasiga joylashtirishni taxmin qiladi. SaaS modelida bo'lgani kabi, mijoz infratuzilmani - tarmoqlar, serverlar, operatsion tizimlar yoki saqlash tizimlarini boshqara olmaydi yoki boshqara olmaydi, lekin ilovalarni joylashtirishni nazorat qiladi.

PaaS modelida foydalanuvchilar ilovalar xavfsizligiga, shuningdek, tasdiqlash, avtorizatsiya va tekshirish kabi API boshqaruv masalalariga e'tibor berishlari kerak.

Muammo raqami 1 - ma'lumotlarni shifrlash. PaaS modeli tabiiy ravishda xavfsizdir, ammo xavf tizimning noto'g'ri ishlashidir. Buning sababi, PaaS provayderlari bilan muloqot qilishda shifrlash tavsiya etiladi va bu qo'shimcha ishlov berish quvvatini talab qiladi. Shunga qaramay, har qanday yechimda foydalanuvchining maxfiy ma'lumotlarini uzatish shifrlangan kanal orqali amalga oshirilishi kerak.

Bu yerda mijozlar asosiy bulut infratuzilmasi ustidan nazoratga ega bo‘lmasalar-da, ular operatsion tizimlar, saqlash va ilovalarni joylashtirish va tarmoq komponentlarini tanlashda cheklangan nazoratga ega.

Ushbu model infratuzilmani himoya qilmasdan bir nechta o'rnatilgan xavfsizlik imkoniyatlariga ega. Bu shuni anglatadiki, foydalanuvchilar operatsion tizimlar, ilovalar va kontentni odatda APIlar orqali boshqarishi va himoya qilishi kerak.

Agar bu himoya usullari tiliga tarjima qilingan bo'lsa, provayder quyidagilarni ta'minlashi kerak:

· Infratuzilmaning o'ziga kirishni ishonchli nazorat qilish;

· Infratuzilmaning chidamliligi.

Shu bilan birga, bulutli iste'molchi ko'proq himoya funktsiyalarini oladi:

· Infratuzilma ichidagi xavfsizlik devori;

· Tarmoqqa kirishdan himoya qilish;

· Operatsion tizimlar va ma'lumotlar bazalarini himoya qilish (ruxsatni boshqarish, zaifliklardan himoya qilish, xavfsizlik sozlamalarini nazorat qilish);

· Yakuniy ilovalarni himoya qilish (virusga qarshi himoya, kirishni boshqarish).

Shunday qilib, himoya choralarining aksariyati iste'molchining yelkasiga tushadi. Provayder himoya qilish bo'yicha standart tavsiyalar yoki kalit echimlarni taqdim etishi mumkin, bu esa oxirgi foydalanuvchilar uchun vazifani soddalashtiradi.

Jadval 1. Mijoz va xizmat ko'rsatuvchi provayder o'rtasidagi xavfsizlik uchun javobgarlikni belgilash. (P - yetkazib beruvchi, K - mijoz)

7. Xavfsizlik auditi

Bulutli auditorning vazifalari odatiy tizimlar auditorining vazifalari bilan deyarli bir xil. Bulutli xavfsizlik auditi yetkazib beruvchi auditi va foydalanuvchi auditiga bo‘linadi. Foydalanuvchining auditi foydalanuvchining iltimosiga binoan amalga oshiriladi, Yetkazib beruvchining auditi esa biznes yuritishning eng muhim shartlaridan biridir.

U quyidagilardan iborat:

· Audit protsedurasini boshlash;

· Audit ma'lumotlarini to'plash;

· Audit ma'lumotlarini tahlil qilish;

· Audit hisobotini tayyorlash.

Audit protsedurasini boshlash bosqichida auditorning vakolatlari, tekshirish muddati masalalari hal qilinishi kerak. Xodimlarning auditorga majburiy yordami ham belgilanishi kerak.

Umuman olganda, auditor ishonchlilikni aniqlash uchun audit o'tkazadi

· Virtualizatsiya tizimlari, gipervizor;

· Serverlar;

· Ma'lumotlar omborlari;

· Tarmoq uskunalari.

Agar Yetkazib beruvchi tekshirilgan serverda IaaS modelidan foydalansa, bu tekshiruv zaifliklarni aniqlash uchun etarli bo'ladi.

PaaS modelidan foydalanganda qo'shimcha tekshiruvlar o'tkazilishi kerak.

· operatsion tizim,

O'rta dastur,

· Ish vaqti muhiti.

SaaS modelidan foydalanganda zaifliklar ham tekshiriladi

Ma'lumotlarni saqlash va qayta ishlash tizimlari,

· Ilovalar.

Xavfsizlik tekshiruvlari an'anaviy serverlarni tekshirish kabi usullar va vositalar yordamida amalga oshiriladi. Ammo bulutli texnologiyalardagi an'anaviy serverdan farqli o'laroq, gipervisor qo'shimcha ravishda barqarorlik uchun tekshiriladi. Bulutda gipervisor asosiy texnologiyalardan biridir va shuning uchun auditga alohida e'tibor berilishi kerak.

8. Bulutli hisoblashda hodisalar va sud-tibbiyotni tekshirish

Axborot xavfsizligi choralarini profilaktika (masalan, shifrlash va boshqa kirishni boshqarish mexanizmlari) va reaktiv (tekshiruvlar) ga bo'lish mumkin. Bulutli xavfsizlikning proaktiv jihati faol tadqiqot sohasi bo'lib, bulut xavfsizligining reaktiv jihatiga kamroq e'tibor berilgan.

Voqealarni tekshirish (shu jumladan, axborot sohasidagi jinoyatlarni tergov qilish) axborot xavfsizligining taniqli bo'limidir. Bunday tekshiruvlarning maqsadlari odatda:

Jinoyat / voqea sodir bo'lganligini isbotlash

Voqea atrofidagi voqealarni tiklash

Huquqbuzarlarni aniqlash

Huquqbuzarlarning ishtiroki va javobgarligini isbotlash

Jinoyatchilar tomonidan noinsof niyatlarning isboti.

Raqamli tizimlarni sud-tibbiy tahlil qilish zaruratidan kelib chiqqan holda, yangi intizom - kompyuter va texnik ekspertiza (yoki sud ekspertizasi) paydo bo'ldi. Kompyuter kriminalistikasining maqsadlari odatda quyidagilardan iborat:

O'chirilgan bo'lishi mumkin bo'lgan ma'lumotlarni qayta tiklash

Voqea bilan bog'liq raqamli tizimlar ichida va tashqarisida sodir bo'lgan voqealarni tiklash

Raqamli tizimlardan foydalanuvchilarni aniqlash

Viruslar va boshqa zararli dasturlarning mavjudligini aniqlash

Noqonuniy materiallar va dasturlar mavjudligini aniqlash

Parollar, shifrlash kalitlari va kirish kodlarini buzish

Ideal holda, kompyuter kriminalistikasi tergovchi uchun o'ziga xos vaqt mashinasi bo'lib, u istalgan vaqtda raqamli qurilmaning o'tmishiga sayohat qilishi va tergovchiga quyidagilar haqida ma'lumot berishi mumkin:

qurilmani ma'lum bir nuqtada ishlatgan odamlar

foydalanuvchi harakatlari (masalan, hujjatlarni ochish, veb-saytga kirish, matn protsessorida ma'lumotlarni chop etish va boshqalar).

ma'lum bir vaqtda qurilma tomonidan saqlangan, yaratilgan va qayta ishlanadigan ma'lumotlar.

Mustaqil raqamli qurilmalar o'rnini bosuvchi bulutli xizmatlar xuddi shunday darajadagi sud-tibbiy tayyorgarlikni ta'minlashi kerak. Biroq, buning uchun resurslarni birlashtirish, ko'p ijaraga olish va bulutli hisoblash infratuzilmasining elastikligi bilan bog'liq muammolarni bartaraf etish kerak. Voqealarni tekshirishda asosiy vosita audit izidir.

Audit izlari — foydalanuvchi loginlari tarixini, maʼmuriy vazifalarni va maʼlumotlar oʻzgarishlarini kuzatish uchun moʻljallangan — xavfsizlik tizimining muhim qismidir. Bulutda audit izining o'zi nafaqat tergov vositasi, balki serverlardan foydalanish narxini hisoblash vositasidir. Audit izi xavfsizlik bo'shliqlarini ko'rib chiqmasa-da, u nima sodir bo'layotganiga tanqidiy qarash va vaziyatni tuzatish bo'yicha takliflarni shakllantirish imkonini beradi.

Arxiv va zaxira nusxalarini yaratish juda muhim, ammo u kim, qachon va nima qilganini qayd etadigan rasmiy audit yo'nalishini almashtira olmaydi. Audit izi xavfsizlik auditorining asosiy vositalaridan biridir.

Xizmat shartnomasida odatda qaysi audit jurnallari yuritilishi va Foydalanuvchiga taqdim etilishi ko'rsatilgan.

9. Tahdid modeli

2010-yilda CSA bulutli texnologiyalardagi asosiy xavfsizlik tahdidlarini tahlil qildi. Ularning ishining natijasi "Cloud Computing v 1.0 ning eng katta tahdidlari" hujjati bo'lib, unda tahdid modeli va tajovuzkor modeli hozirgi vaqtda eng to'liq tavsiflangan. Ayni paytda ushbu hujjatning to'liqroq, ikkinchi varianti ishlab chiqilmoqda.

Joriy hujjat SaaS, PaaS va IaaS uchta xizmat modellari uchun hujumchilarni tavsiflaydi. Yettita asosiy hujum vektori aniqlangan. Ko'pincha, ko'rib chiqilayotgan hujumlarning barcha turlari odatiy, "bulutli bo'lmagan" serverlarga xos bo'lgan hujumlardir. Bulutli infratuzilma ularga ma'lum xususiyatlarni yuklaydi. Shunday qilib, masalan, serverlarning dasturiy ta'minot qismidagi zaifliklarga hujumlar gipervisorga qilingan hujumlarga qo'shiladi, bu ham ularning dasturiy qismidir.

Xavfsizlik tahdidi №1

Bulutli texnologiyalardan nomaqbul va insofsiz foydalanish.

Tavsif:

Bulutli IaaS provayderidan resurslarni olish uchun foydalanuvchi faqat kredit kartasiga ega bo'lishi kerak. Ro'yxatdan o'tish va resurslarni taqsimlash qulayligi spamerlar, virus mualliflari va boshqalarga imkon beradi. bulut xizmatidan o'zlarining jinoiy maqsadlarida foydalanish. Ilgari bunday hujum faqat PaaS da kuzatilgan, ammo so‘nggi tadqiqotlar DDOS hujumlari uchun IaaS dan foydalanish, zararli kodlarni joylashtirish, botnet tarmoqlarini yaratish va boshqalarni ko‘rsatdi.

Xizmatlar misollari Zeus troyaniga asoslangan botnet tarmog'ini yaratish, InfoStealer troyan ot kodini saqlash va turli MS Office va AdobePDF zaifliklari haqida ma'lumotlarni joylashtirish uchun ishlatilgan.

Bundan tashqari, botnet tarmoqlari tengdoshlarini boshqarish va spam yuborish uchun IaaS dan foydalanadi. Shu sababli, ba'zi IaaS xizmatlari qora ro'yxatga kiritilgan va ularning foydalanuvchilari pochta serverlari tomonidan butunlay e'tiborga olinmagan.

Foydalanuvchilarni ro'yxatdan o'tkazish tartib-qoidalarini takomillashtirish

Kredit kartalarini tekshirish tartiblarini takomillashtirish va to'lov vositalaridan foydalanish monitoringi

Xizmat foydalanuvchilarining tarmoq faolligini har tomonlama o'rganish

· U erda bulutli provayder tarmog'ining paydo bo'lishi uchun asosiy qora varaqlarni kuzatish.

Ta'sir qilingan xizmat modellari:

Xavfsizlik tahdidi №2

Ishonchsiz dasturlash interfeyslari (API)

Tavsif:

Bulutli infratuzilma provayderlari foydalanuvchilarga resurslarni, virtual mashinalarni yoki xizmatlarni boshqarish uchun dasturiy interfeyslar to'plamini taqdim etadi. Butun tizimning xavfsizligi ushbu interfeyslarning xavfsizligiga bog'liq.

Interfeysga anonim kirish va hisob ma'lumotlarini aniq matnda uzatish xavfli API-larning asosiy belgilaridir. API-dan foydalanishning cheklangan monitoringi, ro'yxatga olish tizimlarining etishmasligi, shuningdek, turli xizmatlar o'rtasidagi noma'lum munosabatlar faqat xakerlik xavfini oshiradi.

Bulutli provayderning xavfsizlik modelini tahlil qiling

Kuchli shifrlash algoritmlaridan foydalanishga ishonch hosil qiling

Kuchli autentifikatsiya va avtorizatsiya usullari qo'llanilishiga ishonch hosil qiling

· Turli xizmatlar o'rtasidagi bog'liqlik zanjirini tushunish.

Ta'sir qilingan xizmat modellari:

Xavfsizlik tahdidi №3

Ichki huquqbuzarlar

Tavsif:

Ichkaridan axborotga noqonuniy kirish muammosi o'ta xavflidir. Ko'pincha, provayder tomonidan xodimlarning faoliyatini nazorat qilish tizimi joriy etilmaydi, ya'ni tajovuzkor o'zining rasmiy mavqeidan foydalangan holda mijozning ma'lumotlariga kirishi mumkin. Provayder ishga yollash siyosatini oshkor qilmagani uchun tahdid ham havaskor xakerdan, ham provayder xodimlari safiga kirib kelgan uyushgan jinoiy tuzilmadan kelib chiqishi mumkin.

Hozirda bunday zo'ravonlikka misollar yo'q.

Uskunani sotib olishda qat'iy qoidalarni joriy etish va ruxsatsiz kirishni aniqlash uchun tegishli tizimlardan foydalanish.

Foydalanuvchilar bilan tuzilgan davlat shartnomalarida xodimlarni yollash qoidalarini tartibga solish

Provayderning ichki tizimlarida xavfsizlik auditi hisobotlarini nashr etish bilan birga shaffof xavfsizlik tizimini yaratish

Ta'sir qilingan xizmat modellari:

Guruch. 12 Insayderga misol

Xavfsizlik tahdidi №4

Bulutli texnologiyalardagi zaifliklar

Tavsif:

IaaS xizmat ko'rsatuvchi provayderlari virtualizatsiya tizimlaridan foydalangan holda apparat resurslarini mavhumlashtiradi. Biroq, qo'shimcha qurilmalar umumiy resurslarni hisobga olmasdan ishlab chiqilishi mumkin. Ushbu omil ta'sirini minimallashtirish uchun gipervisor virtual mashinaning apparat resurslariga kirishini nazorat qiladi, ammo hatto gipervisorlarda ham jiddiy zaifliklar mavjud bo'lishi mumkin, ulardan foydalanish imtiyozlarning kuchayishiga yoki jismoniy jihozlarga noqonuniy kirishga olib kelishi mumkin.

Tizimlarni bunday muammolardan himoya qilish uchun virtual muhitlarni izolyatsiya qilish mexanizmlarini va nosozliklarni aniqlash tizimlarini amalga oshirish kerak. Virtual mashina foydalanuvchilari umumiy resurslarga kirish imkoniga ega bo'lmasligi kerak.

Potentsial zaifliklarga misollar, shuningdek, virtual muhitda izolyatsiyani chetlab o'tishning nazariy usullari mavjud.

Virtual muhitlarni o'rnatish, sozlash va himoya qilishning eng ilg'or usullarini amalga oshirish

Ruxsatsiz kirishni aniqlash tizimlaridan foydalanish

Ma'muriy ish uchun kuchli autentifikatsiya va avtorizatsiya qoidalarini qo'llash

Yamalar va yangilanishlarni qo'llash vaqtiga talablarni kuchaytirish

· Zaifliklarni skanerlash va aniqlash bo'yicha o'z vaqtida protseduralarni o'tkazish.

Xavfsizlik tahdidi №5

Ma'lumotlarning yo'qolishi yoki sizib chiqishi

Tavsif:

Ma'lumotlarning yo'qolishi minglab sabablarga ko'ra sodir bo'lishi mumkin. Masalan, shifrlash kalitini ataylab yo'q qilish shifrlangan ma'lumotni qayta tiklab bo'lmaydigan bo'lishiga olib keladi. Ma'lumotlarni yoki ma'lumotlarning bir qismini o'chirish, muhim ma'lumotlarga noqonuniy kirish, yozuvlarni o'zgartirish yoki tashuvchining ishlamay qolishi ham bunday holatlarga misol bo'la oladi. Murakkab bulutli infratuzilmada komponentlarning yaqin o'zaro ta'siri tufayli har bir hodisaning ehtimoli ortadi.

Autentifikatsiya, avtorizatsiya va audit qoidalarini noto'g'ri qo'llash, shifrlash qoidalari va usullaridan noto'g'ri foydalanish va uskunaning ishdan chiqishi ma'lumotlarning yo'qolishiga yoki sizib chiqishiga olib kelishi mumkin.

· Ishonchli va xavfsiz APIdan foydalanish

O'tkazilgan ma'lumotlarni shifrlash va himoya qilish

Tizim faoliyatining barcha bosqichlarida ma'lumotlarni himoya qilish modelini tahlil qilish

Ishonchli shifrlash kalitlarini boshqarish tizimini joriy qilish

Faqat eng ishonchli ommaviy axborot vositalarini tanlash va sotib olish

Ma'lumotlarning o'z vaqtida zaxiralanishini ta'minlash

Ta'sir qilingan xizmat modellari:

Xavfsizlik tahdidi №6

Shaxsiy ma'lumotlarni o'g'irlash va xizmatga noqonuniy kirish

Tavsif:

Bunday tahdid yangilik emas. Bu har kuni millionlab foydalanuvchilar tomonidan duch keladi. Buzg'unchilarning asosiy maqsadi foydalanuvchi nomi (login) va uning parolidir. Bulutli tizimlar kontekstida parol va foydalanuvchi nomini o'g'irlash provayderning bulut infratuzilmasida saqlangan ma'lumotlardan foydalanish xavfini oshiradi. Shunday qilib, tajovuzkor o'z faoliyati uchun jabrlanuvchining obro'sidan foydalanish imkoniyatiga ega.

Hisoblarni o'tkazishni taqiqlash

Ikki faktorli autentifikatsiya usullaridan foydalanish

Ruxsatsiz kirishning proaktiv monitoringini amalga oshirish

· Bulutli provayderning xavfsizlik modeli tavsifi.

Ta'sir qilingan xizmat modellari:

Xavfsizlik tahdidi №7

Boshqa zaifliklar

Tavsif:

Biznes yuritish uchun bulutli texnologiyalardan foydalanish kompaniyaga IT infratuzilmasi va xizmatlariga g‘amxo‘rlik qilishni bulutli provayderga qoldirib, o‘z biznesiga e’tiborni qaratish imkonini beradi. O'z xizmatini reklama qilish orqali bulutli provayder barcha imkoniyatlarni ko'rsatishga intiladi, shu bilan birga amalga oshirish tafsilotlarini ochib beradi. Bu jiddiy xavf tug'dirishi mumkin, chunki ichki infratuzilmani bilish tajovuzkorga tuzatilmagan zaiflikni topish va tizimga hujum boshlash imkoniyatini beradi. Bunday vaziyatlarning oldini olish uchun bulutli provayderlar bulutning ichki tuzilishi haqida ma'lumot bermasligi mumkin, ammo bu yondashuv ishonchni oshirmaydi, chunki potentsial foydalanuvchilar ma'lumotlar xavfsizligi darajasini baholash imkoniyatiga ega emaslar. Bundan tashqari, bunday yondashuv zaifliklarni o'z vaqtida topish va bartaraf etish imkoniyatini cheklaydi.

Amazon EC2 bulut xavfsizligi auditini o'tkazishdan bosh tortdi

Hearthland ma'lumotlar markazining xavfsizlik tizimining buzilishiga olib keladigan dasturiy ta'minotni qayta ishlashdagi zaiflik

Jurnal ma'lumotlarini oshkor qilish

Tizim arxitekturasi va o'rnatilgan dasturiy ta'minot haqidagi ma'lumotlarning to'liq yoki qisman oshkor etilishi

· Zaiflikni monitoring qilish tizimlaridan foydalanish.

Ta'sir qilingan xizmat modellari:

1. Huquqiy baza

Mutaxassislarning fikriga ko'ra, agar siz xizmat ko'rsatish shartnomasini to'g'ri tuzsangiz, bulutdagi xavfsizlik muammolarining 70 foizini oldini olish mumkin.

Bunday shartnoma uchun asos "Bulutli huquqlar to'g'risida" gi hujjat bo'lib xizmat qilishi mumkin.

Cloud's Huquqlar Bill 2008 yilda Jeyms Urkxart tomonidan ishlab chiqilgan. Bu materialni u o‘z blogida e’lon qilgani shu qadar katta qiziqish va bahs-munozaralarga sabab bo‘lganki, muallif vaqti-vaqti bilan “qo‘lyozma”sini voqelikka mos ravishda yangilab turadi.

1-modda (qisman): Mijozlar o'z ma'lumotlariga egalik qiladilar

· Hech bir ishlab chiqaruvchi (yoki yetkazib beruvchi) har qanday reja bo'yicha mijozlar bilan o'zaro hamkorlik jarayonida yuklangan, yaratilgan, yaratilgan, o'zgartirilgan har qanday ma'lumotlarga bo'lgan huquqlarni yoki mijoz ega bo'lgan boshqa huquqlarni muhokama qilmasligi kerak.

· Ishlab chiqaruvchilar dastlab yechimlar va xizmatlarni ishlab chiqish bosqichida mijozlar ma'lumotlariga minimal kirishni ta'minlashlari kerak.

· Mijozlar o'z ma'lumotlariga egalik qiladilar, ya'ni ular ma'lumotlarning qonuniy qoidalar va qonunlarga muvofiqligini ta'minlash uchun javobgardirlar.

· Ma'lumotlarga muvofiqlik, xavfsizlik va xavfsizlikka muvofiqlik masalalari juda muhim bo'lganligi sababli, mijoz o'z ma'lumotlarini geografik joylashuvini aniqlashi shart. Aks holda, ishlab chiqaruvchilar foydalanuvchilarga ularning ma'lumotlari barcha qoidalar va qoidalarga muvofiq saqlanishi uchun barcha kafolatlarni taqdim etishlari kerak.

2-band: Ishlab chiqaruvchilar va mijozlar tizimdagi xizmat darajalariga birgalikda egalik qiladilar va boshqaradilar

· Ishlab chiqaruvchilar har bir mijozga individual ravishda xizmat ko'rsatish darajasini qondirish uchun hamma narsani qilishlari kerak. Mijozlar bilan ishlashda xizmat ko'rsatishning to'g'ri darajasiga erishish uchun qilingan barcha zarur resurslar va harakatlar mijoz uchun bepul bo'lishi kerak, ya'ni xizmat narxiga kiritilmasligi kerak.

· Mijozlar, o'z navbatida, o'zlarining ichki va tashqi mijozlariga ko'rsatilayotgan xizmat darajasi uchun javobgardirlar va ularga egalik qiladilar. O'z xizmatlarini taqdim etish uchun ishlab chiqaruvchining echimlaridan foydalanganda, mijozning javobgarligi va bunday xizmat ko'rsatish darajasi butunlay ishlab chiqaruvchiga bog'liq bo'lmasligi kerak.

· Agar ishlab chiqaruvchi va mijozning tizimlarini birlashtirish zarur bo'lsa, ishlab chiqaruvchilar mijozlarga integratsiya jarayonini kuzatish imkoniyatini taklif qilishlari kerak. Agar mijozda axborot tizimlarini integratsiyalash uchun korporativ standartlar mavjud bo'lsa, ishlab chiqaruvchi ushbu standartlarga rioya qilishi kerak.

· Hech qanday holatda ishlab chiqaruvchilar siyosiy bayonotlar, nomaqbul nutqlar, diniy mulohazalar uchun mijozlar akkauntlarini yopmasligi kerak, agar bu muayyan huquqiy qoidalarga zid bo‘lmasa, nafrat ifodasi bo‘lmasa va hokazo.

3-modda: Ishlab chiqaruvchilar o'zlarining interfeyslariga ega

· Ishlab chiqaruvchilardan standart yoki ochiq kodli interfeyslarni taqdim etishlari shart emas, agar mijoz shartnomalarida boshqacha qoida nazarda tutilmagan bo'lsa. Ishlab chiqaruvchilar interfeyslarga bo'lgan huquqlarga ega. Agar ishlab chiqaruvchi mijozga interfeysni tanish dasturlash tilida takomillashtirish imkoniyatini taqdim eta olmasa, mijoz o'z talablariga muvofiq interfeyslarni yakunlash uchun ishlab chiqaruvchidan yoki uchinchi tomon ishlab chiquvchilaridan xizmatlarni sotib olishi mumkin.

· Mijoz esa, sotib olingan xizmatdan o'z maqsadlari uchun foydalanish, shuningdek, uning imkoniyatlarini kengaytirish, takrorlash va yaxshilash huquqiga ega. Ushbu band mijozlarni patent va intellektual mulk huquqlaridan ozod qilmaydi.

Yuqoridagi uchta maqola bulutdagi mijozlar va sotuvchilar uchun asosdir. Ularning to'liq matnini Internetda jamoat mulkida topishingiz mumkin. Albatta, bu qonun loyihasi to‘liq huquqiy hujjat emas, balki rasmiy hujjat ham emas. Qonun loyihasi yangi moddalar bilan to‘ldirilishi mumkin bo‘lganidek, uning moddalari istalgan vaqtda o‘zgartirilishi va kengaytirilishi mumkin. Bu erkinlikni sevuvchi bilim va texnologiya sohasini qandaydir tarzda standartlashtirish uchun bulutdagi "egalik" ni rasmiylashtirishga urinishdir.

Tomonlar o'rtasidagi munosabatlar

Hozirgacha bulutli xavfsizlik bo'yicha eng yaxshi mutaxassis Cloud Security Alliance (CSA) hisoblanadi. Tashkilot bulutli hisoblash xatarlarini baholashda e'tiborga olinishi kerak bo'lgan yuzlab nuanslar va eng yaxshi amaliyotlarni o'z ichiga olgan qo'llanmani chiqardi va yaqinda yangiladi.

Bulutli xavfsizlik aspektlari bilan shug'ullanadigan yana bir tashkilot - bu Trusted Computing Group (TCG). U shu va boshqa sohalarda bir qancha standartlar muallifi, jumladan, bugungi kunda keng qoʻllaniladigan Ishonchli saqlash, Ishonchli tarmoqqa ulanish (TNC) va Ishonchli platforma moduli (TPM).

Ushbu tashkilotlar birgalikda buyurtmachi va provayder shartnoma tuzishda hal qilishi kerak bo'lgan bir qator masalalarni ishlab chiqdi. Ushbu savollar bulutdan foydalanish, fors-major holatlari, bulutli xizmat ko'rsatuvchi provayderlarni o'zgartirish va boshqa vaziyatlarda ko'p muammolarni hal qiladi.

1. Saqlangan ma'lumotlarning xavfsizligi. Xizmat ko'rsatuvchi provayder saqlangan ma'lumotlarning xavfsizligini qanday ta'minlaydi?

Ma'lumotlar omborida saqlangan ma'lumotlarni himoya qilishning eng yaxshi chorasi shifrlash texnologiyalaridan foydalanishdir. Provayder ruxsatsiz kirish holatlarining oldini olish uchun har doim o'z serverlarida saqlangan mijoz ma'lumotlarini shifrlashi kerak. Provayder, shuningdek, kerak bo'lmaganda va kelajakda talab qilinmaydigan ma'lumotlarni butunlay o'chirib tashlashi kerak.

2. Ma'lumotlarni uzatishda himoya qilish. Provayder ma'lumotlarni uzatishda (bulut ichida va bulutdan / bulutga yo'lda) ma'lumotlarning xavfsizligini qanday ta'minlaydi?

O'tkazilgan ma'lumotlar har doim shifrlangan bo'lishi kerak va faqat autentifikatsiyadan so'ng foydalanuvchi uchun ochiq bo'lishi kerak. Ushbu yondashuv ushbu ma'lumotlarga tarmoqdagi ishonchsiz tugunlar orqali kirish huquqiga ega bo'lsa ham, hech kim tomonidan o'zgartirilmasligi yoki o'qilmasligini ta'minlaydi. Bu texnologiyalar “minglab inson yillari” davomida ishlab chiqilgan va ishonchli protokollar va algoritmlarni yaratishga olib keldi (masalan, TLS, IPsec va AES). Provayderlar o'zlarining ixtirolarini emas, balki ushbu protokollardan foydalanishlari kerak.

3. Autentifikatsiya. Provayder mijozning haqiqiyligini qanday biladi?

Autentifikatsiya qilishning eng keng tarqalgan usuli - bu parol bilan himoya qilish. Biroq, o'z mijozlariga ko'proq ishonchlilikni taklif qilmoqchi bo'lgan provayderlar sertifikatlar va tokenlar kabi kuchliroq vositalarni qidirmoqda. Xavfsiz autentifikatsiya vositalaridan foydalanishdan tashqari, provayderlar LDAP va SAML kabi standartlar bilan ishlashlari kerak. Bu foydalanuvchiga berilgan ruxsatlarni avtorizatsiya qilish va belgilashda provayder mijozning foydalanuvchini identifikatsiya qilish tizimi bilan o'zaro aloqada bo'lishini ta'minlash uchun zarur. Buning yordamida provayder har doim vakolatli foydalanuvchilar haqida so'nggi ma'lumotlarga ega bo'ladi. Mijoz provayderga avtorizatsiya qilingan foydalanuvchilarning ma'lum ro'yxatini taqdim etganda eng yomon holat. Qoida tariqasida, bu holatda, xodim ishdan bo'shatilganda yoki boshqa lavozimga ko'chirilganda, qiyinchiliklar paydo bo'lishi mumkin.

4. Foydalanuvchini izolyatsiya qilish. Bir mijozning ma'lumotlari va ilovalari boshqa mijozlarning ma'lumotlari va ilovalaridan qanday ajratilgan?

Eng yaxshi variant: har bir mijoz individual virtual mashina (VM) va virtual tarmoqdan foydalanganda. VMlar va shuning uchun foydalanuvchilar o'rtasidagi ajratish gipervisor tomonidan ta'minlanadi. Virtual tarmoqlar, o'z navbatida, VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) va VPN (Virtual Private Network) kabi standart texnologiyalar yordamida joylashtiriladi.

Ba'zi provayderlar barcha mijozlar ma'lumotlarini yagona dasturiy ta'minot muhitiga joylashtiradilar va uning kodidagi o'zgarishlar orqali mijozlar ma'lumotlarini bir-biridan ajratishga harakat qilishadi. Bunday yondashuv beparvo va ishonchsizdir. Birinchidan, tajovuzkor nostandart koddagi nuqsonni topishi mumkin, bu esa unga ko'rmasligi kerak bo'lgan ma'lumotlarga kirish imkonini beradi. Ikkinchidan, koddagi xato bir mijozning tasodifan boshqasining ma'lumotlarini "ko'rishiga" olib kelishi mumkin. So'nggi paytlarda bu va boshqa holatlar mavjud. Shuning uchun, foydalanuvchi ma'lumotlarini farqlash uchun turli xil virtual mashinalar va virtual tarmoqlardan foydalanish yanada oqilona qadamdir.

5. Normativ-huquqiy masalalar. Provayder bulutli hisoblash sanoatiga tegishli qonun va qoidalarga qanchalik mos keladi?

Yurisdiksiyaga qarab, qonunlar, qoidalar va har qanday maxsus qoidalar farq qilishi mumkin. Masalan, ular ma'lumotlarni eksport qilishni taqiqlashi, qat'iy belgilangan himoya choralarini talab qilishi, muayyan standartlarga mos kelishi va tekshirilishi mumkin bo'lishi mumkin. Oxir oqibat, ular hukumat idoralari va sudlardan kerak bo'lganda ma'lumot olishlarini talab qilishlari mumkin. Provayderning ushbu daqiqalarga e'tiborsizligi o'z mijozlarini huquqiy oqibatlarga olib keladigan katta xarajatlarga olib kelishi mumkin.

Provayder qat'iy qoidalarga rioya qilishi va yagona huquqiy va tartibga soluvchi strategiyaga rioya qilishi kerak. Bu foydalanuvchi ma'lumotlarining xavfsizligi, ularning eksporti, standartlarga muvofiqligi, audit, ma'lumotlarning xavfsizligi va o'chirilishi, shuningdek ma'lumotlarni oshkor qilish bilan bog'liq (ikkinchisi, ayniqsa, bir nechta mijozlarning ma'lumotlari bitta jismoniy serverda saqlanishi mumkin bo'lganda muhimdir). Buni bilish uchun mijozlarga ushbu masalani yaxshilab o'rganadigan mutaxassislardan yordam so'rash tavsiya etiladi.

6. Hodisalarga munosabat. Provayder hodisalarga qanday munosabatda bo'ladi va uning mijozlari voqeaga qanchalik aloqador bo'lishi mumkin?

Ba'zida hamma narsa rejaga muvofiq bo'lmaydi. Shu sababli, xizmat ko'rsatuvchi provayder kutilmagan holatlar yuzaga kelganda muayyan xatti-harakatlar qoidalariga rioya qilishga majburdir. Ushbu qoidalar hujjatlashtirilgan bo'lishi kerak. Provayderlar foydalanuvchilarni mavjud vaziyat haqida xabardor qilish orqali hodisalarni aniqlashlari va ularning oqibatlarini minimallashtirishlari shart. Ideal holda, ular muntazam ravishda mijozlarga masala bo'yicha iloji boricha batafsil ma'lumot berishlari kerak. Bundan tashqari, mijozlar xavfsizlik muammosi ehtimolini baholashlari va kerakli choralarni ko'rishlari kerak.

10. Xalqaro va mahalliy standartlar

Bulutli texnologiyalarning evolyutsiyasi talab qilinadigan sanoat standartlarini yaratish va o'zgartirish bo'yicha harakatlardan oshib ketdi, ularning aksariyati yillar davomida yangilanmagan. Shu sababli, bulutli texnologiyalar sohasida qonun ijodkorligi xavfsizlikni ta'minlash yo'lidagi eng muhim qadamlardan biridir.

Dunyodagi eng yirik standartlarni ishlab chiqish tashkilotlaridan biri bo'lgan IEEE maxsus bulutli hisoblash tashabbusini ishga tushirganini e'lon qildi. Bu bulutni standartlashtirish boʻyicha birinchi xalqaro tashabbus – shu kungacha bulutli hisoblash standartlari sanoat konsorsiumlari tomonidan ustunlik qilib kelgan. Tashabbus hozirda ikkita loyihani o'z ichiga oladi: IEEE P2301 (tm), "Bulutli profillarning ko'chma va o'zaro ishlashi bo'yicha qo'llanma loyihasi" va IEEE P2302 (tm) - "Bulutli tizimlarning birgalikda ishlashi va taqsimlangan o'zaro ishlashi (Federatsiyasi) uchun standart loyihasi".

IEEE standartlarini ishlab chiqish assotsiatsiyasi doirasida mos ravishda IEEE P2301 va IEEE P2302 loyihalari ustida ishlash uchun 2 ta yangi ishchi guruh tuzildi. IEEE P2301 mavjud va kutilayotgan ilova profillari, portativlik, boshqaruv va oʻzaro ishlash standartlari, shuningdek, fayl formatlari va operatsion shartnomalarni oʻz ichiga oladi. Hujjatdagi ma'lumotlar turli maqsadli auditoriya guruhlari: sotuvchilar, xizmat ko'rsatuvchi provayderlar va boshqa manfaatdor bozor ishtirokchilariga ko'ra mantiqiy ravishda tuziladi. Tugallangach, standart standart texnologiyalarga asoslangan bulutli mahsulotlar va xizmatlarni xarid qilish, ishlab chiqish, qurish va ulardan foydalanishda foydalanish mumkin bo'lishi kutilmoqda.

IEEE P2302 standarti turli xil bulutli tuzilmalarning oʻzaro taʼsiri uchun zarur boʻlgan asosiy topologiya, protokollar, funksionallik va boshqaruv usullarini tavsiflaydi (masalan, EC2 kabi xususiy bulut va ommaviy bulutning oʻzaro taʼsiri uchun). Ushbu standart bulutli mahsulotlar va xizmatlar provayderlariga xizmatlar va ilovalar foydalanuvchilariga shaffoflikni ta'minlash bilan birga miqyosdagi iqtisodlardan iqtisodiy foyda olish imkonini beradi.

ISO bulutli hisoblash xavfsizligi uchun maxsus standart tayyorlamoqda. Yangi standartning asosiy yo'nalishi bulutlar bilan bog'liq tashkiliy masalalarni hal qilishga qaratilgan. Biroq, ISO muvofiqlashtirish tartib-qoidalarining murakkabligi tufayli hujjatning yakuniy versiyasi 2013 yilgacha chiqarilmasligi kerak.

Hujjatning ahamiyati shundaki, uni tayyorlashda nafaqat davlat tashkilotlari (NIST, ENISA), balki ekspert hamjamiyatlari va ISACA va CSA kabi assotsiatsiyalar vakillari ham ishtirok etmoqda. Bundan tashqari, bitta hujjat bulutli xizmat ko'rsatuvchi provayderlar va ularning iste'molchilari - mijozlar tashkilotlari uchun tavsiyalarni o'z ichiga oladi.

Ushbu hujjatning asosiy maqsadi axborot xavfsizligi nuqtai nazaridan bulutli hisoblashlardan foydalanish bilan bog'liq eng yaxshi amaliyotlarni batafsil tavsiflashdan iborat. Shu bilan birga, standart nafaqat texnik jihatlarga, balki bulutli hisoblashga o'tishda unutmaslik kerak bo'lgan tashkiliy jihatlarga e'tibor qaratadi. Bu huquq va majburiyatlarni ajratish va uchinchi shaxslar bilan shartnomalar imzolash va "bulutli" jarayonning turli ishtirokchilariga tegishli aktivlarni boshqarish, xodimlarni boshqarish masalalari va boshqalar.

Yangi hujjat asosan IT sohasida ilgari ishlab chiqilgan materiallarni o'z ichiga oladi.

Avstraliya hukumati

Bir necha oylik aqliy hujumlardan so‘ng Avstraliya hukumati 2012-yil 15-fevralda Avstraliya hukumati axborotni boshqarish idorasi (AGIMO) blogida bulutga asoslangan migratsiya bo‘yicha qo‘llanmalar seriyasini chiqardi.

Kompaniyalarning bulutga o'tishini osonlashtirish uchun 1997 yildagi Moliyaviy menejment va javobgarlik bo'yicha 1997 yildagi yaxshiroq amaliyot qo'llanmalari talablariga javob beradigan bulut xizmatlaridan foydalanish bo'yicha eng yaxshi amaliyotlar bo'yicha tavsiyalar tayyorlangan. Qo'llanmalar umumiy ma'noda moliyaviy, huquqiy va ma'lumotlarni himoya qilish masalalariga bag'ishlangan.

Yo'riqnomada hisob-kitoblar va hisobotlarni kundalik tahlil qilish orqali bulutli xizmatlardan foydalanishni doimiy ravishda kuzatib borish va nazorat qilish zarurati haqida so'z boradi. Bu yashirin belgilar va bulutli xizmat ko'rsatuvchi provayderlarga qaramlikdan qochishga yordam beradi.

Birinchi qo‘llanma Avstraliya davlat idoralari uchun maxfiylik va bulutli hisoblash (9 bet) deb nomlangan. Ushbu hujjat maxfiylik va ma'lumotlar xavfsizligi masalalariga qaratilgan.

Ushbu qoʻllanmaga qoʻshimcha ravishda “Bulutli muzokaralar” – bulutli hisoblash shartnomalaridagi huquqiy masalalar (19 sahifa) ham shartnomaga kiritilgan bandlarni tushunishingizga yordam berish uchun tayyorlangan.

Yakuniy, uchinchi qo‘llanma, “Bulutli hisoblashdan hukumat foydalanishi uchun moliyaviy mulohazalar” (6 bet), kompaniya o‘z biznesida bulutli hisoblashdan foydalanishga qaror qilgan taqdirda e’tibor berishi kerak bo‘lgan moliyaviy masalalarni muhokama qiladi.

Qo‘llanmalarda yoritilganlardan tashqari, bulutli hisoblashdan foydalanishda hal qilinishi kerak bo‘lgan bir qator boshqa masalalar, jumladan, davlat, xaridlar va biznesni boshqarish siyosati bilan bog‘liq masalalar ham mavjud.

Ushbu siyosat hujjatining jamoatchilik muhokamasi manfaatdor tomonlarga quyidagi muammolarni ko'rib chiqish va sharhlash imkoniyatini beradi:

· Maxfiy ma'lumotlarga ruxsatsiz kirish;

· Ma'lumotlarga kirishning yo'qolishi;

Ma'lumotlarning yaxlitligi va haqiqiyligini ta'minlamaslik va

· Bulutli xizmatlarni taqdim etishning amaliy jihatlarini tushunish.

11. Ma'lumotlarning hududiy o'ziga xosligi

Turli mamlakatlarda bir qator qoidalar mavjud bo'lib, ular maxfiy ma'lumotlarning mamlakat ichida qolishi kerak. Muayyan hududda ma'lumotlarni saqlash birinchi qarashda qiyin bo'lmasa-da, bulutli xizmat ko'rsatuvchi provayderlar ko'pincha bunga kafolat bera olmaydi. Yuqori darajadagi virtualizatsiyaga ega tizimlarda ma'lumotlar va virtual mashinalar turli maqsadlarda - yuklarni muvozanatlash, nosozliklarga chidamlilik uchun bir mamlakatdan boshqasiga o'tishi mumkin.

SaaS bozoridagi ba'zi yirik o'yinchilar (masalan, Google, Symantec) tegishli mamlakatda ma'lumotlarni saqlash kafolatini taqdim etishi mumkin. Ammo bular, aksincha, istisnolar, umuman olganda, ushbu talablarning bajarilishi hali ham juda kam. Agar ma'lumotlar mamlakatda qolsa ham, mijozlar uni tekshirishning imkoni yo'q. Bundan tashqari, kompaniya xodimlarining harakatchanligi haqida unutmaslik kerak. Agar Moskvada ishlaydigan mutaxassis Nyu-Yorkka sayohat qilsa, u uchun AQShdagi ma'lumotlar markazidan ma'lumot olish yaxshiroq (yoki hech bo'lmaganda tezroq). Buni ta'minlash uchun allaqachon qiyinroq vazifa.

12. Davlat standartlari

Ayni paytda mamlakatimizda bulutli texnologiyalar uchun jiddiy me'yoriy-huquqiy baza mavjud emas, garchi bu sohada ishlanmalar allaqachon olib borilmoqda. Shunday qilib, Rossiya Federatsiyasi Prezidentining 8.02.2012 yildagi 146-son buyrug'i bilan. Superkompyuter va grid texnologiyalaridan foydalangan holda yaratilgan axborot tizimlarida ma'lumotlar xavfsizligi sohasida vakolatli federal ijro etuvchi hokimiyat organlari Rossiya FSB va Rossiya FSTEC ekanligi aniqlandi.

Mazkur farmon munosabati bilan mazkur xizmatlarning vakolatlari kengaytirildi. Rossiya FSB hozirda ushbu tizimlarning xavfsizligini ta'minlash bo'yicha me'yoriy va uslubiy hujjatlarni ishlab chiqadi va tasdiqlaydi, axborot xavfsizligi sohasida tadqiqotlarni tashkil qiladi va olib boradi.

Xizmat, shuningdek, ushbu axborot tizimlarining ekspert kriptografik, muhandislik-kriptografik va maxsus tadqiqotlarini amalga oshiradi va ularni yaratish bo'yicha ishlar bo'yicha takliflar bo'yicha ekspert xulosalarini tayyorlaydi.

Hujjatda, shuningdek, Rossiya FSTEC strategiyasini ishlab chiqadi va cheklangan kirish ma'lumotlarini qayta ishlaydigan superkompyuter va grid texnologiyalaridan foydalangan holda yaratilgan axborot tizimlarida axborot xavfsizligini ta'minlashning ustuvor yo'nalishlarini belgilaydi, shuningdek, ushbu xavfsizlikni ta'minlash bo'yicha ishlarning holatini nazorat qiladi.

FSTEC tadqiqotni buyurdi, natijada "bulutli texnologiyalar" sohasidagi terminologiya tizimining beta-versiyasi paydo bo'ldi.

Siz tushunganingizdek, bu butun Terminologik tizim ikkita hujjatning moslashtirilgan tarjimasidir: "Focus Group on Cloud Computing Technical Report" va "The NIST Definition of Bulut Computing". Xo'sh, bu ikki hujjatning bir-biriga juda mos kelmasligi alohida masala. Ammo vizual ravishda bu hali ham ko'rinadi: ruscha "Terminosystem" da mualliflar boshlang'ich uchun ushbu ingliz hujjatlariga havolalarni taqdim etmaganlar.

Gap shundaki, bunday ish uchun siz birinchi navbatda kontseptsiyani, maqsad va vazifalarni, ularni hal qilish usullarini muhokama qilishingiz kerak. Ko'plab savollar va sharhlar mavjud. Asosiy uslubiy eslatma: ushbu tadqiqot qanday muammoni hal qilishini, uning maqsadini juda aniq shakllantirish kerak. Darhol shuni ta'kidlamoqchimanki, "terminologik tizim yaratish" maqsad bo'lishi mumkin emas, bu vosita, lekin hali juda aniq bo'lmagan narsaga erishish.

Oddiy tadqiqot status-kvo bo'limini o'z ichiga olishi kerakligi haqida gapirmaslik kerak.

Muammoning asl formulasini va mualliflar uni qanday hal qilganligini bilmasdan turib, tadqiqot natijalarini muhokama qilish qiyin.

Ammo Terminologiya tizimining bitta asosiy xatosi aniq ko'rinib turibdi: "bulutli mavzu" ni "bulutli bo'lmagan" mavzudan alohida muhokama qilish mumkin emas. Umumiy IT kontekstidan tashqarida. Ammo bu kontekst tadqiqotda ko'rinmaydi.

Buning natijasi shundaki, amalda bunday terminologiya tizimini qo'llash mumkin bo'lmaydi. Bu vaziyatni yanada chalkashtirib yuborishi mumkin.

13. Bulutli xavfsizlik vositalari

Minimal konfiguratsiyadagi bulutli serverni himoya qilish tizimi tarmoq uskunalari, ma'lumotlarni saqlash, server va gipervisor xavfsizligini ta'minlashi kerak. Bundan tashqari, gipervizorni virtual mashina orqali yuqtirishning oldini olish uchun maxsus yadroga antivirusni, foydalanuvchi ma'lumotlarini shifrlangan shaklda saqlash uchun ma'lumotlarni shifrlash tizimi va virtual server va mijoz o'rtasida shifrlangan tunnelni amalga oshirish vositalarini joylashtirish mumkin. mashina.

Buning uchun bizga virtualizatsiyani qo'llab-quvvatlaydigan server kerak. Ushbu turdagi echimlar Cisco, Microsoft, VMWare, Xen, KVM tomonidan taklif etiladi.

Bundan tashqari, klassik serverdan foydalanish va gipervisor yordamida virtualizatsiyani ta'minlash mumkin.

Mos keladigan protsessorli har qanday serverlar x86-64 platformalari uchun operatsion tizimlarni virtualizatsiya qilish uchun javob beradi.

Bunday yechim apparatni yangilashga qo'shimcha moliyaviy investitsiyalar kiritmasdan, hisoblash virtualizatsiyasiga o'tishni soddalashtiradi.

Ish sxemasi:

Guruch. 11. “Bulutli” serverga misol

Guruch. 12. Uskuna blokining ishdan chiqishiga serverning javobi

Ayni paytda bulutli hisoblash xavfsizligi vositalari bozori hali ham bo'sh. Va bu ajablanarli emas. Normativ-huquqiy baza va kelajakdagi standartlar bo'yicha noaniqlik yo'qligi sababli, rivojlanish kompaniyalari o'z sa'y-harakatlarini nimaga qaratishni bilishmaydi.

Biroq, bunday sharoitlarda ham, bulutli tuzilmani tahdidlarning asosiy turlaridan himoya qilish imkonini beradigan maxsus dasturiy ta'minot va apparat tizimlari paydo bo'ladi.

Butunlikni buzish

Gipervizorni buzish

Insayderlar

Identifikatsiya

Autentifikatsiya

Shifrlash

Accord-B

Uskuna va dasturiy ta'minot tizimi Accord-B. VMware vSphere 4.1, VMware vSphere 4.0 va VMware Infrastructure 3.5 virtualizatsiya infratuzilmasini himoya qilish uchun mo'ljallangan.

Accord-B. virtualizatsiya muhitining barcha komponentlarini himoya qilishni ta'minlaydi: ESX serverlari va virtual mashinalarning o'zlari, vCenter boshqaruv serverlari va VMware xizmatlariga ega qo'shimcha serverlar (masalan, VMware Consolidated Backup).

Accord-V apparat-dasturiy kompleksida quyidagi himoya mexanizmlari amalga oshiriladi:

· Gipervisor, virtual mashinalar, virtual mashinalar ichidagi fayllar va infratuzilmani boshqarish serverlari yaxlitligini bosqichma-bosqich nazorat qilish;

· Virtual infratuzilma ma'murlari va xavfsizlik ma'murlari uchun kirishni farqlash;

· Virtual mashinalar ichida foydalanuvchi kirishini farqlash;

· Virtualizatsiya infratuzilmasining barcha foydalanuvchilari va ma'murlarining apparat identifikatsiyasi.

SERTIFIKATLAR MAVJUDLIGI HAQIDA MA'LUMOT:

Rossiyaning FSTEC 2012 yil 20 yanvardagi 2598-sonli muvofiqlik sertifikati "Accord-V." axborotni ruxsatsiz kirishdan himoya qilish vositalarining apparat-dasturiy kompleksi "Kompyuter qurilmalari. ma'lumotlarga ruxsatsiz kirish.Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari" (Rossiya Davlat Texnik Komissiyasi, 1992 yil) - bo'yicha 5 xavfsizlik sinfi, "Axborotga ruxsatsiz kirishdan himoya qilish. 1-qism. Axborot xavfsizligi uchun dasturiy ta'minot. E'lon qilinmagan imkoniyatlarning yo'qligi nazorati darajasi bo'yicha tasniflash" (Rossiya Davlat Texnik Komissiyasi, 1999 yil) - tomonidan 4 nazorat qilish darajasi va texnik shartlar TU 4012-028-11443195-2010, shuningdek, 1G inklyuziv xavfsizlik sinfiga qadar avtomatlashtirilgan tizimlarni yaratish va shaxsiy ma'lumotlarning 1-sinfgacha bo'lgan axborot tizimlaridagi ma'lumotlarni himoya qilish uchun ishlatilishi mumkin.

vGate R2

vGate R2 axborotni ruxsatsiz kirishdan himoya qilish va VMware vSphere 4 va VMware vSphere 5.S R2 tizimlariga asoslangan virtual infratuzilma uchun axborot xavfsizligi siyosatini amalga oshirishni nazorat qilishning sertifikatlangan vositasi - virtual infratuzilmalarda ma'lumotlarni himoya qilish uchun qo'llaniladigan mahsulot versiyasi. IP-si yuqori darajadagi sertifikatlangan axborot xavfsizligi tizimlaridan foydalanish talablari qo'llaniladigan davlat kompaniyalari.

Xavfsizlik tizimini sozlash va boshqarish uchun ma'murlarning ishini avtomatlashtirishga imkon beradi.

Virtual infratuzilmani boshqarishda xatolar va suiiste'mollarga qarshi turishga yordam beradi.

Virtual infratuzilmani qonunchilik, sanoat standartlari va ilg‘or jahon amaliyotiga muvofiqlashtirish imkonini beradi.

Korporativ IT infratuzilmasini yaratishning bir necha usullari mavjud. Barcha resurslar va xizmatlarni bulutli platformada joylashtirish ulardan faqat bittasi. Biroq, bulutli yechimlarning xavfsizligiga nisbatan noto'g'ri qarashlar ko'pincha yo'lni to'sadi. Ushbu maqolada biz eng mashhur rus provayderlaridan biri - Yandex bulutida xavfsizlik tizimi qanday tashkil etilganligini tushunamiz.

Ertak yolg'on, lekin unda bir ishora bor

Bu hikoyaning boshlanishini mashhur ertak kabi aytish mumkin. Firmada uchta ma'mur bor edi: kattasi aqlli yigit, o'rtadagisi u-bu, eng kichigi ... stajyor-enikeyschik edi. Men Active Directory-da foydalanuvchilarni ishga tushirdim va dumlarni tsiskaga aylantirdim. Kompaniyaning kengayish vaqti keldi va qirol, ya'ni xo'jayin o'zining administrator qo'shinini chaqirdi. Uning so'zlariga ko'ra, mijozlarimiz uchun yangi veb-xizmatlar, shaxsiy fayllarni saqlash, boshqariladigan ma'lumotlar bazalari va dasturiy ta'minotni sinab ko'rish uchun virtual mashinalar bo'lishini tilayman.

Eng kichigi darhol noldan o'z infratuzilmasini yaratishni taklif qildi: serverlarni sotib olish, dasturiy ta'minotni o'rnatish va sozlash, asosiy Internet-kanalni kengaytirish va unga zaxirani qo'shish - ishonchlilik uchun. Va kompaniya tinchroq: apparat har doim qo'l ostida, istalgan vaqtda siz biror narsani almashtirishingiz yoki qayta sozlashingiz mumkin va uning o'zi ma'mur mahoratini oshirish uchun ajoyib imkoniyatga ega bo'ladi. Ular hisoblab chiqdilar va ko'z yoshlarini to'kdilar: kompaniya bunday xarajatlarni ko'tara olmaydi. Yirik korxonalar buni qila oladi, lekin o'rta va kichik biznes uchun bu juda qimmatga tushadi. Xo'sh, siz nafaqat asbob-uskuna sotib olishingiz, server xonasini jihozlashingiz, konditsionerlarni o'rnatishingiz va yong'in signalizatsiyasini o'rnatishingiz kerak, balki kechayu kunduz tartibni saqlashingiz va Internetdan tajovuzkor odamlarning tarmoq hujumlarini qaytarishingiz uchun smenali navbatchilikni tashkil qilishingiz kerak. Va negadir ma'murlar tungi va dam olish kunlari ishlashni xohlamadilar. Agar faqat ikki marta to'lov uchun.

Katta administrator terminal oynasiga o'ychan qaradi va barcha xizmatlarni bulutga qo'yishni taklif qildi. Ammo keyin uning hamkasblari bir-birlarini qo'rqinchli hikoyalar bilan qo'rqitishni boshladilar: ular bulut infratuzilmasi himoyalanmagan interfeyslar va API-larga ega, turli mijozlar yukini muvozanatlashtirmaydi, bu sizning shaxsiy resurslaringizga zarar etkazishi mumkin, shuningdek, ma'lumotlarni o'g'irlash va tashqi ma'lumotlarga nisbatan barqaror emas. hujumlar. Va umuman olganda, muhim ma'lumotlar va dasturiy ta'minot ustidan nazoratni siz bir funt tuz yemagan va bir chelak pivo ichmagan begonalarga o'tkazish qo'rqinchli.

Mediocre butun IT tizimini provayderning ma'lumotlar markazida, uning kanallarida joylashtirish g'oyasi bilan chiqdi. Bu haqda va qaror qildi. Biroq triomizni bir qancha syurprizlar kutayotgan edi, ularning hammasi ham yoqimli emas edi.

Birinchidan, har qanday tarmoq infratuzilmasi xavfsizlik va himoya vositalarining majburiy mavjudligini talab qiladi, ular, albatta, joylashtirilgan, sozlangan va ishga tushirilgan. Biroq, ular foydalanadigan apparat resurslari narxi, ma'lum bo'lishicha, mijozning o'zi tomonidan to'lanishi kerak. Zamonaviy axborot xavfsizligi tizimi katta resurslarni sarflaydi.

Ikkinchidan, biznes o'sishda davom etdi va boshidan qurilgan infratuzilma tezda miqyosli shiftga etib bordi. Bundan tashqari, uni kengaytirish uchun tarifni oddiy o'zgartirish etarli emas edi: bu holda ko'plab xizmatlarni boshqa serverlarga o'tkazish, qayta konfiguratsiya qilish va noldan butunlay qayta ishlab chiqish kerak edi.

Nihoyat, bir kuni, ilovalardan biridagi muhim zaiflik tufayli butun tizim ishdan chiqdi. Administratorlar uni zahira nusxalaridan tezda olib ketishdi, biroq ular roʻyxatga olish xizmatlari uchun zaxira nusxasini oʻrnatishni unutib qoʻygani sababli sodir boʻlgan voqea sabablarini tezda aniqlashga muvaffaq boʻlishmadi. Qimmatli vaqt yo'qotildi va vaqt, xalq donoligida aytilganidek, puldir.

Xarajatlarni hisoblash va natijalarni sarhisob qilish kompaniya rahbariyatini umidsizlikka uchragan xulosalarga olib keldi: boshidanoq IaaS ning bulutli modeli – “infratuzilmani xizmat sifatida” foydalanishni taklif qilgan admin haq edi. Bunday platformalarning xavfsizligiga kelsak, bu haqda alohida gapirishga arziydi. Va biz buni ushbu xizmatlarning eng mashhuri - Yandex.Cloud misolidan foydalanib qilamiz.

Yandex.Cloud-da xavfsizlik

Boshlaylik, Cheshir mushuki qiz Elisga boshidan maslahat berganidek. Ya'ni, javobgarlikni belgilash masalasidan. Yandex.Cloud-da, boshqa shunga o'xshash platformalarda bo'lgani kabi, provayder foydalanuvchilarga taqdim etilayotgan xizmatlarning xavfsizligi uchun javobgardir, mijozning o'zi esa o'zi ishlab chiqadigan ilovalarning to'g'ri ishlashini ta'minlash, maxsus dasturlarga masofadan kirishni tashkil etish va cheklash uchun javobgardir. resurslar, ma'lumotlar bazalari va virtual mashinalarni sozlash, jurnallar ustidan nazorat qilish. Biroq, buning uchun u barcha kerakli vositalar bilan ta'minlangan.

Yandex bulut infratuzilmasi xavfsizligi bir necha darajalarga ega, ularning har biri o'zining himoya tamoyillarini amalga oshiradi va texnologiyalarning alohida arsenalidan foydalanadi.

Jismoniy qatlam

Hech kimga sir emaski, Yandex-ning o'z ma'lumotlar markazlari mavjud bo'lib, ular o'zlarining xavfsizlik bo'limlari tomonidan yuritiladi. Gap nafaqat server xonalariga begona shaxslarning kirishiga yo‘l qo‘ymaslik uchun mo‘ljallangan videokuzatuv va kirishni boshqarish xizmatlari, balki iqlim nazorati tizimlari, yong‘in o‘chirish va uzluksiz quvvat manbalari haqida ham bormoqda. Agar serverlaringiz o'rnatilgan tokchani bir marta yong'inga qarshi sprinklerlardan suv bosgan bo'lsa yoki konditsioner ishdan chiqqanidan keyin ular haddan tashqari qizib ketgan bo'lsa, qattiq qo'riqchilar unchalik foydasi yo'q. Bu, albatta, Yandex ma'lumotlar markazlarida ular bilan sodir bo'lmaydi.

Bundan tashqari, Cloud apparat jismonan "katta Yandex" dan ajratilgan: ular turli tokchalarda joylashgan, lekin aynan bir xil tarzda ular muntazam muntazam texnik xizmat ko'rsatish va tarkibiy qismlarni almashtirishdan o'tadi. Ushbu ikkita infratuzilma chegarasida apparat xavfsizlik devori, bulut ichida esa Xostga asoslangan xavfsizlik devori qo'llaniladi. Bundan tashqari, yuqori darajadagi kalitlar kirishni boshqarish ro'yxati (ACL) tizimidan foydalanadi, bu esa butun infratuzilma xavfsizligini sezilarli darajada oshiradi. Potentsial zaiflikni oldindan aniqlash va yo'q qilish uchun Yandex doimiy ravishda ochiq portlar va konfiguratsiya xatolarini qidirish uchun bulutni tashqi tomondan skanerlaydi. Bulutli resurslar bilan ishlaydigan xodimlar uchun rolga asoslangan kirish modeliga ega SSH kalitlari yordamida markazlashtirilgan autentifikatsiya tizimi joriy etildi va barcha administrator seanslari qayd etiladi. Ushbu yondashuv Yandex tomonidan keng qo'llaniladigan Secure by sukut modelining bir qismidir: xavfsizlik IT infratuzilmasiga loyihalash va ishlab chiqish bosqichida kiritilgan va hamma narsa allaqachon ishga tushirilgandan keyin qo'shilmaydi.

Infratuzilma darajasi

"Uskuna-dasturiy ta'minot mantig'i" darajasida Yandex.Cloud uchta infratuzilma xizmatidan foydalanadi: Compute Cloud, Virtual Private Cloud va Yandex Managed Services. Va endi ularning har biri haqida biroz batafsilroq.

Hisoblash buluti

Ushbu xizmat veb-loyihalar va yuqori yuklangan xizmatlarni joylashtirish, sinov va prototip yaratish yoki o'z uskunangizni ta'mirlash yoki almashtirish davrida AT infratuzilmasini vaqtinchalik ko'chirish kabi turli vazifalar uchun kengaytiriladigan hisoblash quvvatini ta'minlaydi. Xizmatni konsol, buyruq qatori (CLI), SDK yoki API orqali boshqarish mumkin.

Compute Cloud xavfsizligi barcha mijoz virtual mashinalari kamida ikkita yadrodan foydalanishiga asoslanadi va xotirani taqsimlashda ortiqcha majburiyat yo'q. Bu holda yadroda faqat mijoz kodi bajarilganligi sababli, tizim L1TF, Spectre va Meltdown kabi zaifliklarga yoki yon kanal hujumlariga sezgir emas.

Bundan tashqari, Yandex o'zining Qemu / KVM yig'ilishidan foydalanadi, unda keraksiz hamma narsa o'chirib qo'yiladi va faqat gipervisorlarning ishlashi uchun zarur bo'lgan minimal kodlar va kutubxonalar to'plamini qoldiradi. Shu bilan birga, jarayonlar AppArmor-ga asoslangan asbob-uskunalar nazorati ostida ishga tushiriladi, ular xavfsizlik siyosatlaridan foydalangan holda, qaysi tizim resurslari va qaysi imtiyozlar bilan ma'lum bir ilovaga kirish mumkinligini aniqlaydi. Har bir virtual mashina ustida ishlaydigan AppArmor mijoz ilovasining VM dan gipervizorga kirishi xavfini kamaytiradi. Jurnallarni qabul qilish va qayta ishlash uchun Yandex AppArmor va qum qutilaridan ma'lumotlarni o'zining Splunk-ga etkazib berish jarayonini yaratdi.

Virtual shaxsiy bulut

Virtual Private Cloud xizmati turli resurslar va ularning Internetga ulanishi o'rtasida ma'lumotlarni uzatish uchun foydalaniladigan bulutli tarmoqlarni yaratish imkonini beradi. Jismoniy jihatdan, ushbu xizmat uchta mustaqil ma'lumot markazlari tomonidan qo'llab-quvvatlanadi. Bu muhitda mantiqiy izolyatsiya ko'p protokolli aloqa - MPLS darajasida amalga oshiriladi. Shu bilan birga, Yandex doimiy ravishda SDN va gipervizor interfeysini xiralashtiradi, ya'ni virtual mashinalar tomonidan noto'g'ri tuzilgan paketlar oqimi SDN-dan javob olish, uni tahlil qilish va iloji boricha yopish uchun doimiy ravishda tashqi muhitga yuboriladi. konfiguratsiya bo'shliqlari. Virtual mashinalar yaratilganda DDoS himoyasi avtomatik ravishda yoqiladi.

Yandex boshqariladigan xizmatlar

Yandex boshqariladigan xizmatlar - bu turli xil xizmatlarni boshqarish uchun dasturiy ta'minot muhiti: DBMS, Kubernetes klasterlari, Yandex.Cloud infratuzilmasidagi virtual serverlar. Bu erda xizmat xavfsizlik ishlarining ko'p qismini o'z zimmasiga oladi. Barcha zahira nusxalari, zaxira nusxalarini shifrlash, zaifliklarni boshqarish va boshqalar Yandex.Cloud dasturi tomonidan avtomatik ravishda taqdim etiladi.

Voqealarga javob berish vositalari

Axborot xavfsizligi hodisalariga o'z vaqtida javob berish uchun muammoning manbasini o'z vaqtida aniqlash kerak. Buning uchun kechayu kunduz va uzilishlarsiz ishlashi kerak bo'lgan ishonchli monitoring vositalaridan foydalanish kerak. Bunday tizimlar muqarrar ravishda resurslarni iste'mol qiladi, ammo Yandex.Cloud xavfsizlik vositalarining hisoblash quvvati narxini platforma foydalanuvchilariga o'tkazmaydi.

Asboblar to'plamini tanlashda Yandex yana bir muhim talabga amal qildi: ilovalardan birida 0day zaifligidan muvaffaqiyatli foydalanilgan taqdirda, tajovuzkor dastur xostini tark etmasligi kerak, xavfsizlik guruhi esa voqea haqida darhol bilib olishi va shunday munosabatda bo'lishi kerak. kerak.

Va nihoyat, eng muhimi, barcha vositalar ochiq manba bo'lishi kerak edi. Ushbu mezonlarga Yandex.Cloud-da foydalanishga qaror qilingan AppArmor + Osquery to'plami to'liq javob beradi.

AppArmor

AppArmor yuqorida aytib o'tilgan: bu sozlanishi mumkin bo'lgan xavfsizlik profillariga asoslangan faol mudofaa dasturi. Profillar 2.6-versiyasidan boshlab to'g'ridan-to'g'ri Linux yadrosining o'zida LSM yordamida amalga oshirilgan Majburiy kirishni boshqarish (MAC) maxfiylik yorlig'i texnologiyasidan foydalanadi. Yandex dasturchilari AppArmor-ni quyidagi sabablarga ko'ra tanladilar:

• yengillik va tezlik, chunki asbob Linux yadrosining bir qismiga tayanadi;
• bu ochiq manbali yechim;
• AppArmor hech qanday kod yozmasdan Linuxda juda tez o'rnatilishi mumkin;
• konfiguratsiya fayllari yordamida moslashuvchan konfiguratsiya mumkin.

Osquery

Osquery - bu Facebook tomonidan ishlab chiqilgan tizim xavfsizligi monitoringi vositasi bo'lib, hozirda ko'plab IT sohalarida muvaffaqiyatli qo'llanilmoqda. Shu bilan birga, vosita o'zaro faoliyat platforma va ochiq manba kodiga ega.

Osquery yordamida siz operatsion tizimning turli komponentlarining holati haqida ma'lumot to'plashingiz, uni to'plashingiz, uni standartlashtirilgan JSON formatiga aylantirishingiz va tanlangan qabul qiluvchiga yuborishingiz mumkin. Ushbu vosita rocksdb ma'lumotlar bazasida saqlanadigan standart SQL so'rovlarini yozish va ilovangizga yo'naltirish imkonini beradi. Ushbu so'rovlarni bajarish yoki qayta ishlash chastotasi va shartlarini sozlashingiz mumkin.

Standart jadvallarda ko'plab funktsiyalar allaqachon amalga oshirilgan, masalan, siz tizimda ishlaydigan jarayonlar ro'yxatini, o'rnatilgan paketlarni, iptables qoidalarining joriy to'plamini, crontab ob'ektlarini va hokazolarni olishingiz mumkin. Yadro auditi tizimidan hodisalarni qabul qilish va tahlil qilish uchun qo'llab-quvvatlash amalga oshirildi (Yandeks.Cloud-da AppArmor hodisalarini boshqarish uchun foydalaniladi).

Osquery o'zi C ++ da yozilgan va ochiq manba bilan tarqatilgan, siz ularni o'zgartirishingiz va ikkala asosiy kod bazasiga yangi jadvallar qo'shishingiz va C, Go yoki Python-da o'z kengaytmalaringizni yaratishingiz mumkin.

Osquery-ning foydali xususiyati taqsimlangan so'rovlar tizimining mavjudligi bo'lib, uning yordamida real vaqt rejimida tarmoqdagi barcha virtual mashinalarni so'rashingiz mumkin. Bu, masalan, paketda zaiflik topilsa, foydali bo'lishi mumkin: bitta so'rov bilan siz ushbu paket o'rnatilgan mashinalar ro'yxatini olishingiz mumkin. Bu xususiyat murakkab infratuzilmaga ega bo'lgan katta taqsimlangan tizimlarni boshqarishda keng qo'llaniladi.

xulosalar

Agar biz ushbu maqolaning boshida aytib o'tilgan voqeaga qaytadigan bo'lsak, qahramonlarimizni bulutli platformada infratuzilmani joylashtirishdan bosh tortishga majbur qilgan qo'rquvlar asossiz bo'lib chiqqanini ko'ramiz. Hech bo'lmaganda Yandex.Cloud haqida gap ketganda. Yandex tomonidan yaratilgan bulutli infratuzilmaning xavfsizligi ko'p qatlamli echeloned arxitekturaga ega va shuning uchun hozirda ma'lum bo'lgan tahdidlarning aksariyatiga qarshi yuqori darajadagi himoyani ta'minlaydi.

Shu bilan birga, Yandeks o'z zimmasiga olgan apparat vositalariga muntazam texnik xizmat ko'rsatish va monitoring va hodisalardan ogohlantirish tizimlari tomonidan iste'mol qilinadigan resurslar uchun to'lovni tejash tufayli Yandex.Cloud-dan foydalanish kichik va o'rta biznes uchun pulni sezilarli darajada tejaydi. Albatta, IT bo'limidan yoki axborot xavfsizligi uchun mas'ul bo'lgan bo'limdan butunlay voz kechish (ayniqsa, bu ikkala rol bir jamoada birlashtirilgan bo'lsa) ishlamaydi. Ammo Yandex.Cloud ish haqi va umumiy xarajatlarni sezilarli darajada kamaytiradi.

Yandex.Cloud o'z mijozlarini barcha zarur xavfsizlik vositalariga ega xavfsiz infratuzilma bilan ta'minlaganligi sababli, ular texnik vositalarga xizmat ko'rsatish va monitoring qilish vazifalarini provayderga qoldirib, biznes jarayonlariga e'tibor berishlari mumkin. Bu VMlar, ma'lumotlar bazalari va ilovalarni joriy ma'muriyatiga bo'lgan ehtiyojni bartaraf etmaydi, ammo bunday vazifalarni har qanday holatda ham hal qilish kerak bo'ladi. Umuman olganda, Yandex.Cloud nafaqat pulni, balki vaqtni ham tejaydi, deb aytishimiz mumkin. Ikkinchisi esa, birinchisidan farqli o'laroq, almashtirib bo'lmaydigan manbadir.

2019

McAfee: 2019-yilda bulutli xavfsizlikning 19 ta eng yaxshi amaliyoti

Kompaniyalar uchun eng katta tashvish tashqi bulut xizmatlarini himoya qilishdir. Masalan, respondentlar biznes jarayonlarini autsorsing qiluvchi sotuvchilardan, uchinchi tomon bulut xizmatlaridan yoki kompaniya hisoblash quvvatini ijaraga olgan IT infratuzilmasida sodir bo'lishi mumkinligidan xavotirda. Biroq, bu barcha tashvishlarga qaramay, kompaniyalarning atigi 15% uchinchi tomon xavfsizlik tekshiruvlarini o'tkazadi.

“Maʼlumotlar markazi ichida soʻnggi paytlarda keng koʻlamli buzgʻunchiliklar sodir boʻlganiga qaramay, anʼanaviy xavfsizlik tizimlari hanuzgacha faqat tarmoq perimetrini himoya qilishga va kirish huquqlarini nazorat qilishga qaratilgan. Shu bilan birga, jismoniy infratuzilmani himoya qilish yechimlarining virtual muhitlar ishlashiga salbiy ta'siri kamdan-kam ko'rib chiqiladi, - tushuntirdi Kasperskiy laboratoriyasining korporativ savdo va biznesni rivojlantirish bo'yicha vitse-prezidenti Veniamin Levtsov. "Shuning uchun birlashtirilgan muhitda virtual tizimlarni maxsus echimlar bilan himoya qilishda tegishli oxirigacha himoyadan foydalanish juda muhimdir. Biz infratuzilma turidan qat'i nazar, barcha tizimlar uchun butun korporativ tarmoqning yagona qamrovini ta'minlaydigan yondashuvni amalga oshirmoqdamiz. Va bu erda bizning texnologiyalarimiz va zamonaviy VMware ishlanmalari (masalan, mikro-segmentatsiya) bir-birini mukammal ravishda to'ldiradi.

2015: Forrester: Nega mijozlar bulut provayderlaridan norozi?

Shaffof bulut

Forrester Consulting tomonidan yaqinda oʻtkazilgan tadqiqot shuni koʻrsatadiki, koʻplab tashkilotlar bulutli xizmat koʻrsatuvchi provayderlar ularga bulut bilan qanday aloqada boʻlishlari haqida yetarlicha maʼlumot bermayotganiga ishonishadi va bu ularning biznesiga zarar yetkazadi.

Shaffoflik etishmasligidan tashqari, bulutga o'tish ishtiyoqini kamaytiradigan boshqa omillar ham mavjud: mijozlarga xizmat ko'rsatish darajasi, qo'shimcha xarajatlar va bortda. Tashkilotlar bulutni juda yaxshi ko'radilar, lekin bulut provayderlarini emas - yoki deyarli emas.

Iland, korporativ bulutli xosting provayderi tomonidan topshirilgan tadqiqot may oyida o'tkazilgan va Singapur va 275 ta tashkilotning infratuzilma va texnik xizmat ko'rsatish bo'yicha mutaxassislarini qamrab olgan.

"Bugungi bulutning barcha murakkabliklari orasida ba'zi zerikarli kamchiliklar mavjud", deb yozadi Lilac Schoenbek, Iland uchun mahsulotlarni qo'llab-quvvatlash va marketing bo'yicha vitse-prezident. "Ushbu muhim metama'lumotlar uzatilmaydi, bu bulutni qabul qilishni keskin ravishda inhibe qiladi, ammo tashkilotlar bulut cheksizligi asosida o'sish rejalarini tuzmoqda."

Ishbilarmonlik munosabatlarida uyg'unlikka erishishning kaliti qayerda? Muammolarni hal qilish va tomonlarni murosaga keltirish uchun VAR nimalarni bilishi kerak.

Mijozlarga e'tiborning etishmasligi

Ko'rinishidan, ko'plab bulut foydalanuvchilari bu shaxsiy aloqani sezmaydilar.

Shunday qilib, respondentlarning 44 foizi ularning provayderi o'z kompaniyasini bilmaydi va ularning biznes ehtiyojlarini tushunmaydi, deb javob berdi va 43 foizi agar ularning tashkiloti shunchaki kattaroq bo'lsa, etkazib beruvchi ularga ko'proq e'tibor qaratadi, deb hisoblaydi. Muxtasar qilib aytganda, ular bulutli xizmatlarni sotib olishning sovuqligini his qilishadi va bu ularga yoqmaydi.

Va yana bir narsa: so'rovda qatnashgan kompaniyalarning uchdan bir qismi ta'kidlagan bitta amaliyot borki, bu ham tranzaksiyada mayda-chuydalik tuyg'usini uyg'otadi - ular eng kichik savol yoki tushunarsizlik uchun haq olinadi.

Juda ko'p sirlar

Yetkazib beruvchining barcha ma'lumotlarni taqdim etishni istamasligi nafaqat mijozlarni bezovta qiladi, balki ko'pincha ularga pul talab qiladi.

Forrester so'rovining barcha respondentlari bulutdan foydalanish haqidagi etishmayotgan yoki oshkor qilingan ma'lumotlardan ularning kundalik faoliyatiga ma'lum moliyaviy ta'sir va ta'sirni boshdan kechirishlarini aytishdi.

"Bulutli foydalanish bo'yicha aniq ma'lumotlarning etishmasligi ishlash bilan bog'liq muammolarga olib keladi, foydalanishning haqiqiy qiymati haqida rahbariyatga hisobot berish qiyin, foydalanuvchilar hech qachon iste'mol qilmagan resurslar uchun hisob-kitoblar va kutilmagan to'lovlar", - deydi Forrester.

Metadata qayerda?

Tashkilotlarida bulut infratuzilmasi uchun mas'ul bo'lgan CIO'lar aniqlik va shaffoflikni ta'minlaydigan xarajat va samaradorlik ko'rsatkichlarini xohlashadi, ammo ular buni sotuvchilarga etkazishda qiynaladilar.

So‘rov ishtirokchilari bulut ish yuklari haqida olgan metama’lumotlar odatda to‘liq bo‘lmasligini ta’kidladilar. Kompaniyalarning deyarli yarmi muvofiqlik ma'lumotlari, 44% foydalanish ma'lumotlari, 43% tarixiy ma'lumotlar, 39% xavfsizlik ma'lumotlari va 33% hisob-kitob va xarajatlar ma'lumotlari yo'qligini bildirdi.

Shaffoflik masalasi

Meta-ma'lumotlarning etishmasligi har xil muammolarni keltirib chiqarmoqda, deydi respondentlar. So‘rovda qatnashganlarning qariyb uchdan ikki qismi shaffoflikning yo‘qligi bulutning to‘liq afzalliklarini to‘liq tushunishlariga to‘sqinlik qilishini ma’lum qildi.

“Shaffoflikning yo‘qligi turli muammolarni, birinchi navbatda, foydalanish parametrlari va uzilishlar muammosini keltirib chiqaradi”, deyiladi hisobotda.

Taxminan 40% o'zlarining bulutli provayderlaridan qo'shimcha vositalarni sotib olib, bu bo'shliqlarni o'zlari yopishga harakat qiladilar, yana 40% esa bunday shaffoflik mavjud bo'lgan boshqa provayderdan xizmatlarni sotib oladi.

Qoidalarga rioya qilish

Qanday bo'lmasin, tashkilotlar o'zlarining barcha ma'lumotlari uchun mas'uldirlar, xoh mahalliy saqlash yoki bulutga yuboriladi.

So'rovda qatnashganlarning 70% dan ortig'i ularning tashkilotlari muntazam ravishda auditdan o'tkaziladi va ular ma'lumotlari qayerda joylashgan bo'lishidan qat'i nazar, mavjud qoidalarga muvofiqligini tasdiqlashlari kerakligini aytdi. Va bu so'rovda qatnashgan kompaniyalarning deyarli yarmi uchun bulutni qabul qilish uchun to'siq bo'ladi.

"Ammo sizning qoidalarga rioya qilishingizning jihati oxirgi foydalanuvchilaringiz uchun shaffof bo'lishi kerak. Bulutli provayderlar ushbu ma'lumotni yashirsa yoki oshkor qilmasa, ular sizga erishishingizga to'sqinlik qiladi ", - deyiladi hisobotda.

Muvofiqlik muammolari

So'rovda qatnashgan kompaniyalarning 60% dan ortig'i muvofiqlik muammolari bulutni davom ettirishni cheklashini aytdi.

Asosiy muammolar quyidagilardir:

• Ushbu talablarga duch kelgan kompaniyalarning 55 foizi tegishli nazoratni amalga oshirish ular uchun eng qiyin ekanligini aytdi.
• Taxminan yarmi bulutli provayderning muvofiqlik darajasini tushunish qiyinligini aytishadi.
• Respondentlarning yana yarmi auditdan o'tish uchun provayderdan ushbu talablarga muvofiqligi to'g'risida zarur hujjatlarni olish qiyin, deb javob berdi. 42% esa bulutda ishlaydigan ish yuklariga muvofiqligi haqidagi hujjatlarni olishda qiynaladi.

Migratsiya muammolari

Bortga kirish jarayoni umumiy norozilikning yana bir sohasi bo'lib ko'rinadi, so'rovda qatnashgan kompaniyalarning yarmidan ko'pi bulutli provayderlar taklif qilgan migratsiya va qo'llab-quvvatlash jarayonlaridan mamnun emasliklarini aytishdi.

Migratsiya jarayonidan norozi bo‘lgan 51 foizning 26 foizi bu juda uzoq davom etganini, 21 foizi esa provayder xodimlarining jonli ishtiroki yo‘qligidan shikoyat qilgan.

Yarimdan ko'pi ham qo'llab-quvvatlash jarayonidan norozi bo'lgan: 22% javobni uzoq kutishni, 20% yordamchi xodimlarni etarli darajada bilimga ega emasligini, 19% muammoni hal qilish jarayonining uzoq davom etishini va 18% kutilganidan yuqori bo'lgan schyot-fakturalarni oldi. xarajatlar.

Bulutga boradigan yo'lda to'siqlar

Forrester so'rovida qatnashgan ko'plab kompaniyalar mavjud xizmatlar bilan bog'liq muammolar tufayli bulutni kengaytirish bo'yicha o'z rejalarini to'xtatmoqda.

Kamida 60% foydalanishda shaffoflik, me'yoriy hujjatlarga muvofiqlik ma'lumotlari va mustahkam qo'llab-quvvatlashning etishmasligi ularni bulutdan kengroq foydalanishga to'sqinlik qilmoqda, deb javob berdi. Agar bu muammolar bo'lmasa, ular ko'proq ish yukini bulutga o'tkazgan bo'lar edi, deydi respondentlar.

2014

• IT bo'limlarining roli asta-sekin o'zgarib bormoqda, chunki ular bulutli ITning yangi voqeliklariga moslashish muammosiga duch kelishmoqda. AT boʻlimlari xodimlarni xavfsizlik masalalari boʻyicha oʻrgatishi, maʼlumotlarni boshqarish boʻyicha keng qamrovli siyosatlarni ishlab chiqishlari, bulutni joriy qilish boʻyicha yoʻriqnomalarni ishlab chiqishlari va bulutda qanday maʼlumotlarni saqlashi va saqlanishi mumkinligi haqida qoidalarni oʻrnatishlari kerak.
• AT bo'limlari korporativ ma'lumotlarni himoya qilish bo'yicha o'z missiyasini bajarishga qodir va shu bilan birga "Shadow IT" ni amalga oshirishda vosita bo'lib, ma'lumotlar xavfsizligini ta'minlash bo'yicha chora-tadbirlarni amalga oshiradi, masalan, "xizmat sifatida shifrlash" ni joriy qiladi. ` yondashuv. xizmat "). Ushbu yondashuv IT bo'limlariga bulutdagi ma'lumotlar himoyasini markazlashtirilgan tarzda boshqarish imkonini beradi, bu esa kompaniyaning boshqa qismlariga kerak bo'lganda bulut xizmatlarini mustaqil ravishda topish va ulardan foydalanish imkonini beradi.
• Ko'proq kompaniyalar o'z ma'lumotlarini bulutda saqlayotgani va ularning xodimlari bulutli xizmatlardan tobora ko'proq foydalanayotganligi sababli, AT bo'limlari ko'p faktorli autentifikatsiya kabi foydalanuvchi kirishini nazorat qilishning yaxshiroq mexanizmlarini joriy etishga ko'proq e'tibor qaratishlari kerak. Bu, ayniqsa, uchinchi tomonlar va sotuvchilarga bulutdagi ma'lumotlariga kirishni ta'minlaydigan kompaniyalar uchun to'g'ri keladi. Ko‘p faktorli autentifikatsiya yechimlari markazlashtirilgan tarzda boshqarilishi mumkin va ular bulutda yoki kompaniyaning o‘z apparatida bo‘lishidan qat’i nazar, barcha ilovalar va ma’lumotlarga xavfsizroq kirishni ta’minlaydi.

Ponemon va SafeNet ma'lumotlari

Aksariyat IT tashkilotlari korporativ maʼlumotlar bulutda qanday himoyalanganligidan bexabar – natijada kompaniyalar oʻz foydalanuvchilarining hisoblari va maxfiy maʼlumotlarini xavf ostiga qoʻyadi. Bu SafeNet uchun Ponemon instituti tomonidan 2014 yil kuzida o'tkazilgan tadqiqot natijalaridan faqat bittasi. “Bulutli axborotni boshqarish muammolari: Global ma’lumotlar xavfsizligi so‘rovi” deb nomlangan tadqiqotda butun dunyo bo‘ylab 1800 dan ortiq axborot texnologiyalari va IT xavfsizligi bo‘yicha mutaxassislar so‘ralgan.

Boshqa topilmalar qatorida, tadqiqot shuni ko'rsatdiki, tashkilotlar bulutli hisoblash kuchidan tobora ko'proq foydalanayotgan bo'lsa-da, korporativ IT bo'limlari bulutdagi ma'lumotlarni boshqarish va himoya qilishda qiyinchiliklarga duch kelmoqda. Tadqiqot shuni ko'rsatdiki, tashkilotlarning atigi 38 foizi bulutdagi maxfiy va boshqa maxfiy ma'lumotlarni himoya qilish bo'yicha aniq belgilangan rol va mas'uliyatga ega. Eng yomoni, bulutda saqlanadigan korporativ maʼlumotlarning 44% IT boʻlimlari tomonidan nazorat qilinmaydi yoki boshqarilmaydi. Bundan tashqari, respondentlarning uchdan ikki qismidan ko'prog'i (71%) bulutdagi maxfiy ma'lumotlarni himoya qilish uchun xavfsizlikni ta'minlashning an'anaviy mexanizmlari va usullaridan foydalanishda tobora ortib borayotgan qiyinchiliklarga duch kelayotganini qayd etdi.

Bulutli infratuzilmalarning ommaviyligi ortib borayotgani sababli, maxfiy ma'lumotlarning sizib chiqishi xavfi ham oshib bormoqda. So'rovda qatnashgan IT mutaxassislarining uchdan ikki qismi (71%) bulutli hisoblash bugungi kunda korporatsiyalar uchun katta ahamiyatga ega ekanligini tasdiqladi va uchdan ikki qismidan ko'pi (78%) bulutli hisoblash ikki yil ichida dolzarb bo'lib qoladi. Bundan tashqari, respondentlarning fikriga ko'ra, bugungi kunda o'z tashkilotlarining axborot texnologiyalari va ma'lumotlarni qayta ishlash infratuzilmasiga bo'lgan barcha ehtiyojlarining qariyb 33 foizi bulutli resurslar yordamida qondirilishi mumkin va keyingi ikki yil ichida bu ulush o'rtacha 41 foizga oshadi. .

Biroq, respondentlarning aksariyati (70%) ma'lumotlarning maxfiyligini saqlash va uni bulutli muhitda himoya qilish talablariga rioya qilish tobora qiyinlashib borayotganiga rozi. Bundan tashqari, bulutda saqlanadigan korporativ maʼlumotlar turlari, masalan, elektron pochta manzillari, mijozlar va mijozlar maʼlumotlari, toʻlov maʼlumotlari respondentlardan sizib chiqib ketish xavfi ostida.

Korxonalardagi barcha bulut xizmatlarining yarmidan koʻpi korporativ IT boʻlimlari emas, balki uchinchi tomon boʻlimlari tomonidan oʻrnatiladi va bulutda joylashgan korporativ maʼlumotlarning oʻrtacha 44% IT boʻlimlari tomonidan nazorat qilinmaydi yoki boshqarilmaydi. Natijada, so‘rovda qatnashganlarning atigi 19 foizi o‘z tashkilotlarida hozirda foydalanilayotgan barcha bulutli ilovalar, platformalar yoki infratuzilma xizmatlari haqida bilishlariga amin ekanliklarini aytishdi.

Bulutli xizmatlarni o'rnatish va ulardan foydalanish ustidan nazoratning yo'qligi bilan bir qatorda, respondentlar o'rtasida bulutda saqlangan ma'lumotlar xavfsizligi uchun aslida kim mas'ul ekanligi to'g'risida konsensus yo'q edi. Respondentlarning 35 foizi mas'uliyat foydalanuvchilar va bulutli provayderlar o'rtasida taqsimlanishini, 33 foizi mas'uliyat to'liq foydalanuvchilarda, 32 foizi esa bulutli provayder ma'lumotlar xavfsizligini ta'minlash uchun mas'ul deb hisoblagan.

Respondentlarning uchdan ikki qismidan ko‘prog‘i (71 foiz) an’anaviy xavfsizlik vositalari va usullaridan foydalangan holda bulutda saqlanadigan maxfiy foydalanuvchi ma’lumotlarini himoya qilish qiyinlashib borayotganini, qariyb yarmi (48 foiz) esa ular uchun qiyinlashib borayotganini ta’kidladi. oxirgi foydalanuvchilarning bulutli ma'lumotlarga kirishini nazorat qilish yoki cheklash. Natijada, so‘rovda qatnashgan IT-mutaxassislarining uchdan bir qismidan ko‘prog‘i (34%) o‘z tashkilotlari allaqachon bulutli hisoblash xizmatlari bilan ishlashning zaruriy sharti sifatida shifrlash kabi xavfsizlik mexanizmlaridan foydalanishni talab qiluvchi korporativ siyosatni amalga oshirganliklarini aytishdi. Respondentlarning 71 (71) foizi maxfiy yoki boshqa maxfiy maʼlumotlarni shifrlash yoki tokenizatsiya qilish qobiliyati ular uchun katta ahamiyatga ega ekanligini taʼkidladi va 79 foizi bu texnologiyalarning ahamiyati keyingi ikki yil ichida oshib borishiga ishonadi.

Ularning kompaniyalari bulutdagi ma'lumotlarni himoya qilish uchun aynan nima qilayotgani so'ralganda, respondentlarning 43 foizi ularning tashkilotlari ma'lumotlarni uzatish uchun shaxsiy tarmoqlardan foydalanishini aytdi. Respondentlarning beshdan ikki qismi (39%) ularning kompaniyalari bulutdagi ma'lumotlarni himoya qilish uchun shifrlash, tokenizatsiya va boshqa kriptografik vositalardan foydalanishini aytdi. So‘rovda qatnashganlarning yana 33 foizi o‘z tashkilotlarida qanday xavfsizlik yechimlari borligidan bexabar, 29 foizi esa bulutli provayderlar tomonidan taqdim etilgan pullik xavfsizlik xizmatlaridan foydalanishini aytdi.

Respondentlar, shuningdek, korporativ shifrlash kalitlarini boshqarish, ularning kompaniyalarida foydalanilayotgan kalitlarni boshqarish va shifrlash platformalari soni ortib borayotganini hisobga olib, bulutdagi maʼlumotlar xavfsizligini taʼminlash uchun muhim ahamiyatga ega, deb hisoblashadi. Xususan, respondentlarning 54 foizi maʼlumotlarni bulutda saqlashda ularning tashkilotlari shifrlash kalitlari ustidan nazoratni saqlab qolishini aytdi. Biroq, so'rovda qatnashganlarning 45 foizi shifrlash kalitlarini dasturiy ta'minotda, ma'lumotlarning o'zi saqlanadigan joyda va faqat 27 foizi kalitlarni xavfsizroq muhitda, masalan, apparat qurilmalarida saqlashini aytdi.

Bulutda saqlangan ma'lumotlarga kirish haqida gap ketganda, respondentlarning oltmish sakkiz (68) foizi bulutli muhitda foydalanuvchi hisoblarini boshqarish qiyinlashib borayotganini ta'kidlamoqda, respondentlarning oltmish ikki (62) foizi esa ular uchun ruxsat borligini aytishgan. ularning tashkilotlaridagi bulut. uchinchi tomonlar uchun ham taqdim etilgan. So‘rovda qatnashganlarning qariyb yarmi (46 foizi) ularning kompaniyalari bulutda saqlangan ma’lumotlarga uchinchi tomon kirishini himoya qilish uchun ko‘p faktorli autentifikatsiyadan foydalanishini aytdi. Respondentlarning taxminan bir xil soni (48 foiz) ularning kompaniyalari ko‘p faktorli autentifikatsiya texnologiyalaridan, jumladan, o‘z xodimlarining bulutga kirishini himoya qilish uchun foydalanishini aytishdi.

2013 yil: Cloud Security Alliance tadqiqotlari

Bulutli himoyani targ'ib qiluvchi notijorat sanoat tashkiloti Cloud Security Alliance (CSA) yaqinda "Bulutli yovuzlik: 2013 yilda bulutli xizmatlar uchun eng yaxshi 9 ta tahdid" nomli hisobotda eng yaxshi tahdidlar ro'yxatini yangiladi.

CSA hisobotida mutaxassislarning bulutdagi eng muhim xavfsizlik tahdidlari bo‘yicha konsensusini aks ettirganini va asosiy e’tibor bulut resurslarini bo‘lishish va bir nechta foydalanuvchilar talabiga binoan kirishdan kelib chiqadigan tahdidlarga qaratilganligini bildiradi.

Shunday qilib, asosiy tahdidlar ...

Ma'lumotlarni o'g'irlash

Maxfiy korporativ ma'lumotlarni o'g'irlash har qanday IT infratuzilmasidagi tashkilotlarni doimo qo'rqitadi, ammo bulutli model "yangi, muhim hujum yo'llarini" ochadi, deb ta'kidlaydi CSA. "Agar ko'p ijaraga olingan bulutli ma'lumotlar bazasi yaxshi o'ylab topilmagan bo'lsa, bitta mijoz ilovasidagi nuqson tajovuzkorlarga nafaqat o'sha mijozning ma'lumotlariga, balki boshqa barcha bulut foydalanuvchilariga kirish imkonini berishi mumkin", - deya ogohlantiradi CSA.

Har qanday "bulut" bir nechta himoya darajalariga ega, ularning har biri ma'lumotni har xil turdagi "hujumlar" dan himoya qiladi.

Masalan, serverning jismoniy himoyasi. Bu erda biz hatto xakerlik haqida emas, balki o'g'irlik yoki axborot tashuvchilarga zarar etkazish haqida gapiramiz. Serverni xonadan tashqariga ko'chirish so'zning to'liq ma'nosida qiyin bo'lishi mumkin. Bundan tashqari, har qanday o'zini hurmat qiladigan kompaniya ma'lumotlarni xavfsizlik, videokuzatuv va cheklangan kirish imkoniyatiga ega bo'lgan ma'lumotlar markazlarida saqlaydi nafaqat begonalar, balki kompaniyaning aksariyat xodimlari uchun ham. Shunday qilib, tajovuzkor shunchaki kelib, ma'lumotni olishi ehtimoli nolga yaqin.

Tajribali sayohatchi o'g'irlikdan qo'rqib, barcha pul va qimmatbaho narsalarni bir joyda saqlamaganidek,

Mehnatga haq to'lash mehnat natijalari bilan bevosita bog'liq bo'lgan taqdirdagina rag'batlantiruvchi omil hisoblanadi. Xodimlar olingan moddiy mukofot va mehnat unumdorligi o'rtasidagi barqaror munosabatlarga ishonch hosil qilishlari kerak. Ish haqida erishilgan natijalarga bog'liq bo'lgan komponent bo'lishi kerak. Rus mentaliteti jamoaviy ishlash istagi, hamkasblarning tan olinishi va hurmati va boshqalar bilan ajralib turadi.

Og‘ir iqtisodiy vaziyat tufayli yuqori ish haqi olish qiyin bo‘lgan bugungi kunda nomoddiy rag‘batlantirishga, xodimlarga imtiyozlarning moslashuvchan tizimini yaratishga, mehnatni insonparvarlashtirishga, jumladan:

1.xodimning tashkilot uchun qadr-qimmatini tan olish, unga ijodiy erkinlik berish;

2) mehnatni boyitish va kadrlar almashinuvi dasturlarini qo'llash;

3. surma jadvali, yarim kunlik ish haftasi, ish joyida ham, uyda ham ishlash imkoniyatidan foydalaning;

4. xodimlarga ular ishlayotgan korxona tomonidan ishlab chiqarilgan mahsulotlarga chegirmalar belgilash;

5. dam olish va hordiq chiqarish uchun mablag' bilan ta'minlash, bepul sayohat chiptalarini taqdim etish, uy-joy, bog 'uchastkasi, avtomashinalar va boshqalarni sotib olish uchun kreditlar berish.

Quyida eng yuqori darajadagi ehtiyojlarni qondirishga olib keladigan mehnatni tashkil etishning rag'batlantiruvchi omillari shakllantiriladi.
O'z ish joyida har kim o'zining nimaga qodirligini va boshqalar uchun nimani anglatishini ko'rsatishni xohlaydi, shuning uchun ma'lum bir xodimning faoliyati natijalarini tan olish, uning vakolatiga taalluqli masalalar bo'yicha qaror qabul qilish imkoniyatini ta'minlash kerak. , boshqa xodimlarga maslahat berish. Ish joylarida yagona jamoaning dunyoqarashi shakllantirilishi kerak: agar ular tashkilot maqsadlariga haqiqiy zarar etkazmasa, paydo bo'lgan norasmiy guruhlarni yo'q qilish mumkin emas.

Deyarli har bir kishi o'z ishini yaxshilash bo'yicha o'z nuqtai nazariga ega. Rahbariyatning qat'iy yordamiga tayangan holda, sanktsiyalardan qo'rqmasdan, xodim o'z rejalarini amalga oshirish istagini yo'qotmasligi uchun ishni tashkil qilish kerak. Shu sababli, xodimlar ma'lumotni qanday shaklda, qanday tezlikda va qanday tarzda olishadi, ular rahbariyat oldida ularning haqiqiy ahamiyatini baholaydilar, shuning uchun xodimlarning ishidagi o'zgarishlar to'g'risida ular bilmasdan qaror qabul qilish mumkin emas. ijobiydir, shuningdek, zarur ma'lumotlarga kirishga to'sqinlik qiladi.

Xodimning ish sifati to'g'risidagi ma'lumotlar tezkor, keng ko'lamli va o'z vaqtida bo'lishi kerak. Xodimga maksimal darajada o'zini o'zi boshqarish darajasi berilishi kerak. Ko'pchilik ish jarayonida yangi bilim olishga intiladi. Shu sababli, qo'l ostidagilarga o'rganish, ularning ijodini rag'batlantirish va rivojlantirish imkoniyatini berish juda muhimdir.

Har bir inson muvaffaqiyatga intiladi. Muvaffaqiyat - bu erishilgan maqsadlar bo'lib, unga erishish uchun xodim bor kuchini sarflaydi. E'tirofsiz muvaffaqiyat umidsizlikka olib keladi, tashabbusni o'ldiradi. Agar muvaffaqiyatga erishgan bo'ysunuvchilarga qo'shimcha huquq va vakolatlar berilgan bo'lsa va ular martaba zinapoyasiga ko'tarilsa, bu sodir bo'lmaydi.

XULOSA

U yoki bu motivatsion tizimning amalda samaradorligi ko'p jihatdan boshqaruv organlariga bog'liq, garchi so'nggi yillarda ma'lum bir davrda o'zlarining motivatsiya tizimlarini ishlab chiqishda korxonalarning o'zlarining rolini oshirish bo'yicha ma'lum qadamlar qo'yildi. bozor munosabatlari sharoitida korxonalarning maqsad va vazifalarini amalga oshirish imkonini beradi.

Endi hech kimni motivatsiya ishchilarni yuqori samarali ishlashga undashning asosiy omili ekanligiga ishontirishning hojati yo'q. O'z navbatida, motivatsiya tizimlarining ishlashi, ularning rivojlanishi asosan boshqaruv apparati xodimlariga, ularning malakasiga, ishbilarmonlik fazilatlariga va boshqa sifat xususiyatlariga bog'liq. Shu bilan birga, Rossiyaning bozor munosabatlariga o'tishidan oldingi davrda ham, hozirgi vaqtda ham motivatsiya muammosi eng dolzarb va, afsuski, amaliy jihatdan eng hal qilinmagan muammo bo'lib qolmoqda. Bu muammoni hal qilish asosan o'zimizga bog'liq. Biz o'zimiz hayotimiz va ishlash motivatsiyasi uchun javobgarmiz. Biroq, ko'pchiligimiz hayotimiz mazmuni va ishlash istagi uchun asosiy mas'uliyatni o'z zimmamizga olishga jur'at etishdan oldin juda ko'p vaqt sarflayotganga o'xshaymiz. Biz hayotimiz va ish muammolarimiz sabablarini birinchi navbatda o'zimizdan tashqarida izlashga odatlanganmiz.

Sabablari tezda topiladi: ishdagi yaqin hamkasblar, boshliqlar, bo'ysunuvchilar, mehnat taqsimoti, atmosfera, boshqaruv usuli, iqtisodiy sharoitlar, davlatning asossiz siyosati va hatto mamlakatimizdan tashqarida bo'lgan boshqa ko'plab omillar. Ko'pchiligimiz ishimizning samaradorligini yoki ishlashni xohlamasligimizni tushuntirishga shunchalik ko'p vaqt sarflaymizki, bu vaqt ichida to'g'ri ishlatilsa, biz o'zimizni ham, yaqinlarimizni ham sezilarli darajada yuqori motivatsiyaga erishishimiz mumkin.

Yaxshi ishingizni bilimlar bazasiga yuborish oddiy. Quyidagi shakldan foydalaning

Bilimlar bazasidan o‘z o‘qish va faoliyatida foydalanayotgan talabalar, aspirantlar, yosh olimlar sizdan juda minnatdor bo‘ladi.

Shunga o'xshash hujjatlar

Mehnatga haq to'lashning mohiyati, shakllari, tamoyillari va tizimlari. NKMZ AJ misolida ish haqi fondini tahlil qilish. Korxonada qo'llaniladigan xodimlarning mehnatiga haq to'lash usullari. Bozor sharoitida mehnatga haq to'lash va mehnatni rag'batlantirish tizimini takomillashtirish yo'nalishlari.

OOO UMTS "Splav" faoliyatini tahlil qilish, ish haqini hisobga olishni tashkil etish tizimining xususiyatlari. Ish haqi tizimi mehnatga haq to'lashni tashkil etishning zarur elementi sifatida. Xodimlarni rag'batlantirish usullarining xususiyatlari, ish haqi fondining tuzilishi.

muddatli ish, 09/01/2012 qo'shilgan


“Mehnat motivatsiyasi” toifasining mohiyati va mazmuni. Motivatsiya nazariyalari, ularning mohiyati va mazmuni. "Svetlana" MChJ ishchilarini mehnatni rag'batlantirish tizimining hozirgi holatini tahlil qilish. Mehnatga haq to'lash sohasida motivatsion omillarni kuchaytirish, chora-tadbirlar samaradorligi.

muddatli ish, 2010-yil 18-05-da qo‘shilgan


Ish haqi fondlarini shakllantirish shakllari, manbalarini, xodimlarni mukofotlash va rag'batlantirish tizimlarini ko'rib chiqish. "Beker" PA ishlab chiqarish-xo'jalik faoliyatining xususiyatlari: mahsulot tannarxini tahlil qilish, rentabellik, tashkil etish va mehnatga haq to'lash.

dissertatsiya, 25/05/2010 qo'shilgan


Iqtisodiyotda mehnatni rag'batlantirish muammosi. Korxonada mehnatga haq to'lashning an'anaviy tizimining xususiyatlari. Kompaniya xodimlarining mehnat motivatsiyasi, qiymat yo'nalishlari va ishdan qoniqish diagnostikasi. Korporativ mehnatga haq to'lash tizimini ishlab chiqish.

dissertatsiya, 09/08/2010 qo'shilgan


Ish haqi tizimi: turlari, shakllari va uni hisoblash tartibi. Tibbiyot muassasalari xodimlarining mehnatiga haq to'lash tartibi. Byudjet tashkilotlarida moliyalashtirishni hisobga olish, asosiy ko'rsatkichlar tahlili. Mehnatga haq to‘lash tizimini takomillashtirish bo‘yicha chora-tadbirlar loyihasi.

dissertatsiya, 22.12.2012 qo'shilgan


Bozor iqtisodiyoti sharoitida mehnatga haq to'lashning mohiyati va tamoyillari. Mehnatga haq to'lashning zamonaviy shakllari va tizimlari. OOO Sigma, Kostromada mehnatga haq to'lashni tahlil qilish. Xodimlarning mehnatiga haq to'lash tizimini tahlil qilish. O'rganilayotgan korxonada mehnatga haq to'lash tizimini takomillashtirish.

dissertatsiya, 04/11/2012 qo'shilgan

Barcha moddiy rag'batlantirish insonning mehnati uchun moddiy mukofotiga asoslanadi. U ish haqini to'lash shaklida, shuningdek, Rossiya qonunchiligida va ushbu tashkilotda qabul qilingan qoidalarda nazarda tutilgan ijtimoiy dasturlar shaklida amalga oshirilishi mumkin.

Ish haqi - bu xodimlarni moddiy rag'batlantirishning etakchi shakli. U insonning mehnat jarayonida sarflagan kuchlari va vaqtini pul shaklida ifodalaydi.

Ish haqi - bu ko'pchilik uchun mehnatga bo'lgan ehtiyojni keltirib chiqaradigan asosiy omil.

Ammo uni olish haqiqati har doim ham vijdonli va samarali mehnatni ta'minlamaydi. Shuning uchun, agar ishchilarning motivatsiyasini kuchaytiruvchi omil sifatida ish haqi haqida gapiradigan bo'lsak, uning hajmining mehnatning yakuniy natijasiga bog'liqligini aniqlash kerak. Bunda o'z vazifalarini mas'uliyat bilan bajaradigan xodimlar va yuqori ish faoliyatini ko'rsatsa, hammadan ko'ra ko'proq maosh oladi. Bu “ilg‘or ishchilar”da o‘z mehnati natijalaridan qoniqish hissini uyg‘otadi va butun jamoaning eng yaxshi mehnati uchun rag‘bat bo‘lib xizmat qiladi.

Ushbu vazifani amalda qanday amalga oshirishingiz mumkinligini tushunish uchun birinchi navbatda qurilish asoslarini tahlil qilamiz ish haqi tizimlari tashkilotda.

Tashkilotdagi xodimlarning ish haqi Rossiya Federatsiyasi qonunchiligiga asoslanadi va davlat tomonidan tartibga solinadi. Davlat tomonidan tartibga solish eng kam ish haqini belgilash, tashkilot tomonidan ish haqi uchun ajratilgan mablag'larni soliqqa tortish, ish haqining davlat kafolatlarini belgilashga taalluqlidir.

Oldin sanab o'tilgan funktsiyalarni tasdiqlovchi standartlar Rossiya Federatsiyasi Mehnat kodeksida mavjud bo'lib, qoida tariqasida, tashkilot o'z xodimlari bilan tuzadigan mehnat va jamoa shartnomalarida belgilanadi.

Huquqiy me'yorlarga rioya qilish tashkilot o'z xodimlarining mehnatiga haq to'lash tizimini qurish uchun asos bo'lib xizmat qiladi, ammo huquqiy me'yorlarga qo'shimcha ravishda bir qator omillarni hisobga olish kerak.

Ish haqi shakli. Ish haqining ikkita asosiy shakli mavjud: vaqt va ish haqi. Vaqt bo'yicha ish haqi bir soatlik ish haqi yoki haqiqiy ishlagan soatlar uchun ish haqi asosida ish haqini hisoblashni o'z ichiga oladi. Ish haqining ushbu shakli mutaxassislar va menejerlarga ish haqi to'lashda qo'llaniladi, chunki ular dona, metr va kilogrammda hisoblangan aniq mahsulot ishlab chiqarmaydi. Ularning ishi o'z ishiga sarflangan vaqt bilan o'lchanadi.

Parcha ish haqi ishlab chiqarilgan mahsulot miqdoriga bog'liq va ishlab chiqarilgan mahsulot birligi tannarxidan kelib chiqib hisoblanadi. Ish haqi bo'yicha ishchilarning ishi baholanadi, uning natijalarini miqdoriy jihatdan o'lchash mumkin.

Ishchilarni qoplash. Ishchilarni qoplash individual va jamoaviy ish haqini nazarda tutadi. Shaxsiy to'lov - bu har bir aniq xodim uchun ish haqini hisoblash. Kollektiv ish haqi guruh ishining natijalariga ko'ra hisoblab chiqiladi va keyinchalik ushbu guruh ichida belgilangan qoidalarga muvofiq taqsimlanadi.

To'lov vositalari. To'lov vositalari - naqd va natura komponentlari. Qoidaga ko'ra, ish haqi naqd pulda to'lanadi, lekin xodim bilan kelishilgan holda va Rossiya Federatsiyasi qonunchiligiga muvofiq to'lovning bir qismi tovarlar, qimmatli qog'ozlar yoki xizmatlar bilan to'lanishi mumkin.

Hisob-kitob davrining davomiyligi. Hisob-kitob davrining davomiyligi - to'lovlarning chastotasi. Mehnatga haq to'lash kunlik, haftalik, oylik bo'lishi mumkin.

Sanab o'tilgan omillarni o'rganish va tahlil qilish tashkilotning maqsad va vazifalariga, shuningdek uning moliyaviy imkoniyatlariga mos keladigan to'lov tizimini ishlab chiqish va joriy etish imkonini beradi. Biroq, nafaqat xodimlarning mehnatiga haq to'lash tizimini yaratish, balki uni mehnatni rag'batlantirishga aylantirish kerak.

Buning uchun ishlab chiqish jarayonida ishchilar mehnati samaradorligini oshirishni ta'minlaydigan qoidalarga rioya qilish kerak:

■ ish haqi tizimi xodimni korxona uchun kerakli natijaga erishishga yo'naltirishi kerak, shuning uchun ish haqi miqdori butun tashkilotning ishlash ko'rsatkichlari (foyda, sotish hajmi, rejaning bajarilishi) bilan bog'liq;

■ to'lov tizimi xodimlarni boshqarish vositasi bo'lishi kerak, buning uchun menejer ham moddiy rag'batlantirish, ham jazolash imkoniyatiga ega bo'lishi kerak;

■ Ishga haq to'lash tizimi xodimlarning talablarini qondirishi va boshqa tashkilotlardagi shartlarga mos kelishi kerak.

Yuqorida aytib o'tganimizdek, har bir korxonada to'lov tizimi ishlab chiqarish talablarini, faoliyat turini va qabul qilingan kadrlar siyosatini aks ettiruvchi o'ziga xos xususiyatlarga ega.

Biroq, yaqinda ko'plab tashkilotlar xodimlarga to'lovlarni uch qismga bo'lishdan iborat bo'lgan ish haqi sxemasidan foydalanishga kirishdilar.

Birinchi qism asosiy ish haqi hisoblanadi. U xizmat vazifalarini bajarganlik uchun to'lanadi va o'zgarishsiz qoladi (ish haqining to'lov shakli bundan mustasno). Tashkilotning barcha xodimlari ish haqi oladi.

Ikkinchi qism- bu imtiyozli to'lovlar va kompensatsiyalar - tashkilot o'z xodimlariga taqdim etadigan ijtimoiy paket. Bunga ta'tillar, kasallik ta'tillari, ovqatlanish, xodimlarni o'qitish, hayot va sog'liq sug'urtasi, yillik inflyatsiya kompensatsiyasi uchun to'lovlar kiradi. Ish haqining kompensatsiya qismi individualdir va xodim ishlagan yillar soniga va tashkilot tomonidan qabul qilingan qo'shimcha ijtimoiy dasturlarning mavjudligiga bog'liq. Barcha xodimlar kompensatsiya qismini ham oladilar.

Uchinchi qism- bu tashkilot oldingi davrda mehnat yutuqlari uchun to'laydigan qo'shimcha to'lovlar. Qo'shimcha to'lovlar bonuslar, mahsulotlarni sotishdan olingan foizlar, ta'tilga qo'shimcha to'lovlar, shuningdek bajarilgan ishlarning murakkabligi va sifati uchun nafaqalar va koeffitsientlar shaklida amalga oshirilishi mumkin. To'lovlarning bu qismi o'zgaruvchan. Bu barcha xodimlar uchun farq qiladi va individual ishlash ko'rsatkichlariga bog'liq. Bu qism barcha xodimlar tomonidan emas, balki faqat o'z ishlarida ma'lum natijalarga erishganlar tomonidan qabul qilinadi.

Taqdim etilgan mehnatga haq to'lash tizimi qonun hujjatlarida belgilangan xodimlarga to'lovlarning barcha turlarini o'z ichiga oladi va yuqori sifatli va samarali mehnat uchun qo'shimcha mukofotlar orqali xodimlarning samaradorligini rag'batlantirish imkonini beradi.

Shuni ta'kidlash kerakki, mehnatga haq to'lash tizimini yaratishda tashkilot rahbari va kadrlar bo'limi xodim uchun pul ish haqining ma'nosi nafaqat u ishlashga sarflagan kuchlari xarajatlarini qoplash bilan cheklanib qolmasligini yodda tutishi kerak. uning ishidan. Pul mukofoti, uni olish shakllari va hajmi uning tashkilot uchun qiymatining dalili sifatida qabul qilinadi, o'zini o'zi qadrlashni shakllantiradi va ijtimoiy mavqe haqida gapiradi. Shunday qilib, xodim tomonidan olingan pul shaxsiy va professional o'zini o'zi anglash ko'rsatkichidir.

Bibliografik tavsif:

A.K. Nesterov Tashkilotda xodimlarning mehnatini rag'batlantirish [Elektron resurs] // O'quv ensiklopediya sayti

Mehnat motivatsiyasini boshqarish tashkilotning xodimlarni boshqarish tizimida asosiy omil hisoblanadi, chunki xodimlarning motivatsiyasi va uning ish samaradorligi o'rtasida bevosita bog'liqlik mavjud.

Mehnat motivatsiyasi tushunchasi va mohiyati

Motivatsiya Belgilangan maqsadlarga erishish uchun rag'batlarni yaratish jarayoni. Motivatsiya jarayonida ehtiyojlar va motivlar ishtirok etadi. Ehtiyojlar harakatga bo'lgan ichki harakatdir. Motivatsiya jarayoni motivning rivojlanishi bilan tugaydi, bu jarayonda ehtiyojlardan tashqari, qadriyat yoʻnalishlari, eʼtiqod va qarashlar ham ishtirok etadi. Bu yashirin jarayon, uni kuzatish mumkin emas va uni empirik tarzda aniqlash mumkin emas.

Siz faqat motivatsiya natijasini ko'rishingiz mumkin - inson xatti-harakati.

Samarali motivatsiya nafaqat ma'lum bir xodimning ijtimoiy va ijodiy faolligini oshirishga, balki korxona faoliyatining yakuniy natijalariga ham ta'sir qiladi.

Mavjud motivatsiya nazariyalarining har biri nazariy va qo'llaniladigan ma'lum jihatlar natijalaridan kelib chiqadi, ularni o'z kontseptsiyasining asosiga qo'yadi, ammo motivatsiya tushunchasini aniqlashga yagona yondashuv ishlab chiqilmagan.

Mehnat motivatsiyasi tushunchasini aniqlashga yondashuvlar

Ushbu maqola doirasida biz mehnat motivatsiyasining mohiyatini tavsiflovchi quyidagi tezisdan foydalanamiz.

Xodimlarning mehnat motivatsiyasi- Bu insonni ongli faoliyatni amalga oshirishga undaydigan ichki va tashqi harakatlantiruvchi kuchlarning yig'indisidir.

Boshqaruv tizimining elementi sifatida xodimlarni rag'batlantirish odamlarni o'z huquq va majburiyatlari doirasida o'z ishlarini eng samarali bajarishga undashga qaratilgan. Shu munosabat bilan, motivatsiya to'g'ridan-to'g'ri ta'sir qiladi - agar u unga qiziqmasa, uning malakasi natija keltirmaydi. Tashkilotni boshqarishda xodimlarni rag'batlantirish uchun ichki va tashqi omillar majmuasidan foydalaniladi.

Alohida-alohida, bu omillar inson uchun ahamiyatsiz va zamonaviy sharoitda ularning ta'siri unchalik kuchli emas, lekin murakkab ta'sir bilan ular bir-birini ko'paytiradi va multiplikator effektini yaratadi.

Xodimlar motivatsiyasi nazariyalari

Jadvalda motivatsiyaning moddiy va protsessual nazariyalari ko'rsatilgan, unda motivlar va rag'batlantirish komplekslari shakllanadi, ular tashkilotda xodimlar mehnatini rag'batlantirish elementlari sifatida ishlaydi.

Manba: Vikhanskiy, O.S. Menejment: darslik / O.S.Vixanskiy, A.I.Naumov. - 5-nashr, Stereotip. - M .: Magistr: INFRA -M, 2012.

Motivatsiyaning mazmunli nazariyalari bo'yicha motivatsiya tizimini qurish xodimlarning ustuvor ehtiyojlarini aniqlash va qondirishga asoslanadi va motivatsiyaning protsessual nazariyalari xodimlarning motivatsion xatti-harakatlarini shakllantirishda asosiy rol o'ynaydi.

Tashkilotda xodimlarni rag'batlantirish usullari

Mehnatni rag'batlantirish usullari uchta turdagi boshqaruv tartibga soluvchi ta'sirlar sifatida taqdim etiladi: passiv, bilvosita va faol.

• Passiv ta'sirlar xodimlarga ta'sir qilmaydi, balki mehnat sharoitlarini yaratishga qaratilgan bo'lib, xodimlarning mehnatiga oid normalar, qoidalar, qoidalarni ishlab chiqishni o'z ichiga oladi.
• Bilvosita ta'sir tashkilot xodimlariga bilvosita ta'sir qiladi va kompleks bonus dasturlari, umuman korxona jamoasiga qaratilgan rag'batlantirish shaklida amalga oshiriladi.
• Faol ta'sirlar muayyan xodimlarga yoki xodimlar guruhlariga bevosita ta'sir qilishni nazarda tutadi.

Motivatsiya usullari diagrammada keltirilgan

Xodimlarni rag'batlantirish usullari

Rag'batlantirishning iqtisodiy usullari xodimlar uchun ma'lum imtiyozlar olishga asoslanadi, bu ularning farovonligini oshiradi.

Iqtisodiy usullarning bevosita shakllari:

• asosiy ish haqi;
• ishning murakkabligi va malakasini, ortiqcha ish va boshqalarni hisobga olgan holda qo'shimcha to'lovlar;
• xodimning korxonaning ishlab chiqarish faoliyati natijalariga qo'shgan hissasiga qarab mukofotlar va to'lovlar shaklida haq to'lash;
• boshqa turdagi to'lovlar.

Iqtisodiy usullarning bilvosita shakllari:

• foydalanish uchun xizmat avtomobilini taqdim etish;
• tashkilotning ijtimoiy institutlaridan foydalanish;
• tashkilot mahsulotlarini sotish narxidan past narxda sotib olish;
• turli imtiyozlar berish.

Tashkiliy usullar:

1. Xodimlarning asosiy ishi uchun qiziqarli maqsadlar bilan motivatsiya;
2. Mehnat faoliyati mazmunini boyitish orqali motivatsiya;
3. Tashkilot ishlarida ishtirok etish orqali motivatsiya.

Axloqiy psixologik usullar:

1. Ishonchli va bajarilgan ish bilan faxrlanish;
2. Ish natijalari uchun javobgarlik;
3. Qiyinchilik, qobiliyatingizni ko'rsatish imkoniyati;
4. Bajarilgan ish yoki loyiha natijasining muallifligini tan olish;
5. Yuqori reyting, shaxsiy yoki ommaviy bo'lishi mumkin.

Tashkilot xodimlarining ishini rag'batlantirish usullariga qo'yiladigan talablar

Tashkilotda xodimlarning mehnatini rag'batlantirish samaradorligini oshirish va oshirish yo'nalishlari

Xodimlarni rag'batlantirish tizimi Ma'muriy, iqtisodiy va ijtimoiy-psixologik usullardan foydalangan holda kompaniya maqsadlariga erishishga yo'naltirilgan xodimlarni boshqarishning moslashuvchan vositasi.

Korxonalar inson omilini faollashtirishni ta'minlaydigan samarali inson resurslarini boshqarish tizimini yaratishi kerak, buning uchun tashkilotlar odamlarni qo'yilgan vazifalarni eng samarali hal qilishga yo'naltirish uchun xodimlarni rag'batlantirish usullaridan foydalanadilar. Mehnatni rag'batlantirish mehnat unumdorligini oshirishga, tashkilot foydasini ko'paytirishga qaratilgan bo'lib, natijada tashkilotning strategik maqsadlariga erishishga olib keladi.

Asosiy muammo - tashkilotda xodimlarni rag'batlantirishning samarali va samarali tizimini yaratish masalasi. Har bir menejer xodimning ishga qiziqishini yo'qotmasligini ta'minlashga harakat qilganligi sababli, tashkilotlar maxsus tadbirlarni ishlab chiqadi va xodimlarni ishga qiziqtirish uchun motivatsiya tizimi quriladi.

Ilgari o'tkazilgan tadqiqot shuni ko'rsatdiki, motivatsiya turlari va mehnatga qiziqish ta'sir etuvchi omillar o'rtasida barqaror munosabatlar mavjud.

Samarali bo'lmagan motivatsiya tizimi mehnat unumdorligining pasayishiga olib keladi, shuning uchun mehnatni rag'batlantirishning samarali usullaridan oqilona foydalanish muhimligi aniq.

Xodimlarni rag'batlantirish va tashkilotning iqtisodiy faoliyati natijalarining o'zaro bog'liqligi korxonaning asosidir.

Har qanday menejerning vazifasi ish jarayonini odamlar samarali ishlashi uchun tashkil etishdir. Korxonadagi munosabatlarning mahsuldorligi va iqlimi bevosita xodimlarning kompaniyadagi mavqeiga va mavjud rag'batlantirish tizimiga qanchalik rozi ekanligiga bog'liq. Bu, o'z navbatida, korxona ichidagi ob'ektiv haqiqat kontekstida ularni o'zgartirishga qaratilgan firma ichidagi munosabatlarning qat'iy rasmiylashtirilishini kamaytirishga ta'sir qiladi.

Tashkilotda xodimlarning mehnatini rag'batlantirish tizimini takomillashtirishning odatiy yo'nalishi bu rag'batlantirish shakllari va turlarini kengaytirishdir. Masalan, agar moddiy rag'batlantirish korxonani rag'batlantirish tizimida eng aniq ifodalangan bo'lsa yoki rag'batlantirishning nomoddiy turlari amalda mavjud bo'lmasa, xodimlarni ma'naviy rag'batlantirishning ko'proq turlaridan foydalanish kerak, masalan:

1. Xodimning shaxsiy ishiga erishgan yutuqlarining turli yozuvlarini qo'yish.
2. Kompaniya rahbariyati nomidan og'zaki tashakkur.
3. Tashkilot hisobidan qo'shimcha ta'lim.
4. Kompaniya xodimga beradigan restoranda kechki ovqatga pullik taklifnoma.
5. Moslashuvchan ish soatlari.
6. Avtoturargoh va bepul benzin bilan ta'minlash.
7. Ish joyidagi jihozlarning yuqori sifati, shuningdek, yil oxirida eng yaxshi xodimlar uchun yangi uskunalar sotib olish.
8. Suratni devor gazetasiga joylashtirish.
9. "Eng yaxshi xodim" maxsus belgisi bilan esdalik sovg'asi.
10. Mijozlarning minnatdor fikr-mulohazalarini hamma ko'radigan tarzda joylashtirish.
11. Ixtisoslashgan davriy nashrlarga obuna.

Xodimlarning motivatsiyasini oshirish uchun xodimlarning o'zini namoyon qilishi uchun sharoit yaratish, qarorlar qabul qilishda ma'lum bir tashabbus bilan ta'minlash va xodimlarning kompaniyada sodir bo'layotgan jarayonlarga ta'sir qilish imkoniyatiga ega bo'lishlari uchun sharoit yaratish kerak. Buning uchun direktor o'z vakolatlarining bir qismini bevosita kompaniya bo'linmalari rahbarlariga berishi mumkin.

Rahbarga qo'l ostidagi xodimlarning shaxsiy hayotidagi ba'zi muhim voqealardan (tug'ilgan kunlar, to'ylar va boshqalar) ularga e'tibor ko'rsatish, barchani jamoa bo'lib tabriklash uchun foydalanish foydali bo'ladi. Xodimlar tomonidan bunday harakatlar ham mumkin.

Shuningdek, xodimlarning kompaniya ishlariga jalb etilishini oshirish maqsadida “ochiq eshiklar siyosati” atamasi bilan ifodalanadigan harakatlar tizimini joriy etish zarur. Bu har qanday darajadagi rahbarning o'z qo'l ostidagilarning takliflarini tinglashga tayyorligini anglatadi. Bu siyosatning shiori: “Mening idoramning eshiklari siz uchun doim ochiq”. Biroq, bu menejerning vaqt resursiga qanday aloqasi bor degan savol tug'iladi. Haqiqatan ham, agar qo'l ostidagilar xohlagan vaqtda boshliqning kabinetiga kirishga qaror qilsalar-chi. Aslida, agar xodimlar band bo'lsa, ular menejerning ofisiga siz kutganingizdan kamroq tashrif buyurishadi. Bundan tashqari, siz bunday aloqalarni tashkil qilish uchun ba'zi usullardan foydalanishingiz mumkin:

• Menejer yig'ilish vaqtini o'zi belgilashi mumkin, xodimga auditoriyani rad etmaydi, balki uni o'zi uchun qulay vaqtda kechiktiradi.
• Axborotni taqdim etishning yozma shakllaridan foydalanish ham bo'ysunuvchilar bilan aloqani kamaytirishga yordam beradi. Fikrlarni yozma ravishda taqdim etish ixchamlik va aniqlik bilan ajralib turadi.
• Muayyan biznes takliflarini baholash va rag'batlantirish. Ba'zan, g'oyani taqdim etayotganda, xodimlar unga tegishli ma'lumotlarning katta miqdori bilan birga keladi, garchi siz faqat mohiyatini aniq bayon qilishingiz kerak bo'lsa.

Ma'naviy rag'batlantirish orqali xodimlarning motivatsiyasini oshirish va boshqaruvning barcha darajalarida ochiq eshiklar siyosatini amalga oshirish xodimlarning butun tashkilotdagi ishtirokini, shuningdek, menejerlar tomonidan qabul qilinadigan qarorlarni sezilarli darajada oshiradi. Bu tashkilotda mavjud bo'lgan rasmiy va norasmiy munosabatlarda muvozanatga erishishning sub'ektiv-ob'ektiv usullari orqali firma ichidagi munosabatlarni optimallashtirishga yordam beradi. Shuningdek, u rahbariyat uchun mavjud bo'lgan va qaror qabul qilish uchun zarur bo'lgan ma'lumotlar sifatini oshiradi. Ma'naviy rag'batlantirish, shuningdek, xodimlarga tashkilotning maqsadlari va qadriyatlariga sodiqliklarini his qilishlariga yordam beradi.

Xodimlarni rag'batlantirish tizimining samaradorligini oshirishning istiqbolli yo'nalishi kadrlarni moslashtirish dasturini amalga oshirishdir. Korxonada xodimlarni moslashtirishni boshqarish bo'yicha alohida xizmat bo'lmasa ham, yangi xodimni moslashtirish bo'yicha ishlarni kadrlar bo'limi xodimi bajarishi mumkin.

Bortga qabul qilish dasturi - bortga kirish uchun mas'ul bo'lgan xodim tomonidan bajarilishi kerak bo'lgan aniq harakatlar to'plami. Moslashuv dasturi umumiy va maxsus bo'linadi. Umumiy moslashish dasturi butun tashkilotga tegishli bo'lib, u kompaniyaning umumiy g'oyasi, tashkilot siyosati, ish haqi, qo'shimcha imtiyozlar, mehnatni muhofaza qilish va xavfsizlik, tashkilotdagi xodimning mehnat sharoitlari kabi masalalarni o'z ichiga oladi. kundalik hayotga xizmat ko'rsatish, iqtisodiy omillar.

Maxsus moslashish dasturi har qanday bo'lim yoki ish joyiga tegishli masalalarni o'z ichiga oladi va yangi kelgan bo'lim xodimlari bilan maxsus suhbatlar va boshliq bilan suhbatlar (tezkor va yuqori) shaklida amalga oshiriladi. Ammo bu suhbatlarni tashkil etish kadrlar bo'limi xodimiga yuklangan. Maxsus moslashtirish dasturini ishlab chiqish jarayonida e'tiborga olinishi kerak bo'lgan asosiy masalalar quyidagilardir: bo'linmaning funktsiyalari, mehnat vazifalari va majburiyatlari, talab qilinadigan hisobotlar, tartiblar, qoidalar, qoidalar va bo'linma xodimlarining vakilliklari.

Ish haqi mehnatga haq to'lash va mehnatni rag'batlantirish tizimining eng muhim qismi, xodimning mehnat samaradorligiga ta'sir qilish vositalaridan biridir. Bu kompaniyaning xodimlarni rag'batlantirish tizimining eng yuqori cho'qqisidir, lekin uning barcha ahamiyatiga qaramay, ko'pchilik muvaffaqiyatli xorijiy firmalarda ish haqi xodim daromadining 70% dan oshmaydi, qolgan 30% daromad daromadlarni taqsimlashda ishtirok etadi.

Ish haqi o'zining rag'batlantiruvchi funktsiyasini bajarishi uchun uning darajasi va xodimning malakasi, bajarilgan ishning murakkabligi va javobgarlik darajasi o'rtasida bevosita bog'liqlik bo'lishi kerak.

Mehnatga haq to'lash tizimi deganda korxona xodimlariga ular qilgan mehnat hissasiga yoki mehnat natijalariga ko'ra to'lanadigan haq miqdorini hisoblash usuli tushuniladi.

Ish haqini tashkil etishning ikkita tizimi mavjud: tarif va tarifsiz. Tarif tizimi turli xil aniq ish turlarini ularning murakkabligi va bajarish shartlarini hisobga olgan holda o'lchash, ya'ni ish sifatini hisobga olish imkonini beradi. Bu mahalliy korxonalarda eng keng tarqalgan.

Turli xil mulkchilik shaklidagi korxonalarda eng keng tarqalgan bo'lib ish haqining tarif tizimining ikkita shakli hisoblanadi:

Parcha-buyum - har bir ishlab chiqarish birligi yoki bajarilgan ish hajmi uchun;

Vaqt bo'yicha - tarif tizimida nazarda tutilgan ishlagan standart soatlar uchun.

Har bir aniq korxonada ishlab chiqarilayotgan mahsulotlarning xususiyatiga, muayyan texnologik jarayonlarning mavjudligiga, ishlab chiqarish va mehnatni tashkil etish darajasiga qarab, ish haqining u yoki bu shakllari qo'llaniladi.

Ish haqi va ish haqi nuqtai nazaridan, tenglashtirishdan xalos bo'lish, alohida xodim va butun jamoa manfaatlari o'rtasidagi ziddiyatni bartaraf etish juda qiyin.

Tashkilotni takomillashtirish va mehnatni rag'batlantirishning mumkin bo'lgan varianti sifatida foydalanish tarifsiz ish haqi tizimi , bu ko'plab korxonalarda boshqaruvning bozor sharoitlariga o'tishda qo'llanilishini topdi. Bu tizimda korxonaning direktordan tortib to ishchigacha bo‘lgan barcha xodimlarining ish haqi to‘lovi xodimning ish haqi fondida (ish haqi fondida) yoki butun korxona yoki alohida bo‘linmadagi ulushini ifodalaydi. Bunday sharoitda har bir xodimning ish haqining haqiqiy qiymati bir qator omillarga bog'liq:

Xodimning malaka darajasi;

Mehnat ishtiroki darajasi (KTU);

Haqiqiy ishlagan soatlar.

Korxona xodimining malaka darajasi mehnat jamoasining barcha a'zolari uchun belgilanadi.

Korxonaning barcha xodimlari xodimlarning malaka darajasi va turli kasblar xodimlariga qo'yiladigan malaka talablari asosida o'nta malaka guruhiga bo'lingan. Guruhlarning har biri uchun uning mehnat faoliyati davomida oshirilishi mumkin bo'lgan o'z malaka darajasi belgilanadi. Malaka darajalari tizimi ish haqi darajalari tizimidan ko'ra ko'proq malakali mehnatni moddiy rag'batlantirish uchun katta imkoniyatlar yaratadi.

KTU korxonaning barcha xodimlariga, shu jumladan direktorga ta'sir qiladi va uni belgilash chastotasini (oyda bir marta, har chorakda va hokazo) va uning ko'rsatkichlari tarkibini o'zi hal qiladigan mehnat jamoasi kengashi tomonidan tasdiqlanadi. hisoblash.

Tarifsiz tizimning o'zgarishi shartnomaviy ish haqi tizimi, korxonalarga yuqori malakali kadrlarni, asosan, rahbar va mutaxassislarni jalb etish va ushlab turish, keskin raqobat sharoitida yanada yuqori maqsadlarga erisha oladigan mutaxassislar jamoasini shakllantirishga qaratilgan.U ish beruvchi o‘rtasida shartnoma (shartnoma) tuzishga asoslanadi. va mehnat sharoitlarini, tomonlarning huquq va majburiyatlarini, mehnatga haq to'lash darajasini va boshqalarni nazarda tutadigan xodim. Iqtisodiyotimizdagi mehnatga haq to'lashning tarif tizimi o'zining vaqt va ish haqi shakllari bilan taqqoslaganda, shartnoma tizimi mavjud. ikkita shubhasiz afzallik. Birinchidan, amaldagi davlat toʻlov tizimida ishchilarga ish haqi, tarif stavkalari va stavkalarida belgilanganidan ancha koʻp haq toʻlanishi mumkin. Ikkinchidan, shartnoma tizimi mehnat kodeksiga zid bo'lmagan holda, ushbu ishdan bo'shatishni kasaba uyushmasi bilan muvofiqlashtirmasdan, mehnat shartnomasini bekor qilish orqali beparvo xodimdan xalos bo'lishni oson va sodda qiladi. Ushbu afzalliklar kontrakt tizimini ishlab chiqarish samaradorligini keskin oshirishga erishmoqchi bo'lgan korxonalar uchun juda jozibador qiladi.

Yangiliklarga obuna bo'ling