abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 05:55 | Komunita

Google a Canonical společně oznámili možnost běhu aplikací postavených na Flutteru (Wikipedie) také na Linuxu. Na Linuxu lze tyto grafické aplikace také přímo vyvíjet. Současně byla představena pomocí Flutteru vytvořená aplikace pro správu kontaktů Flokk. Ukázka aplikace běžící na Ubuntu na YouTube. Flutter SDK i Flokk jsou již k dispozici také jako Snap balíčky na Stapcraftu.

Ladislav Hagara | Komentářů: 0
dnes 02:22 | Komunita

Google na svém blogu věnovanému open source představil novou organizaci Open Usage Commons. Cílem této organizace je rozšířit filozofii a definici open source také na ochranné známky projektů. První tři zapojené projekty jsou Angular, Gerrit a Istio. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 0
dnes 01:11 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 11.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 17:44 | Nová verze

Byla vydána verze 6 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek a diskuse v diskusním fóru. Poznámky k vydání na GitHubu. Videoukázky na YouTube.

Ladislav Hagara | Komentářů: 1
včera 17:33 | Komunita

MojeFedora.cz informuje, že souborový systém Btrfs míří do desktopové Fedory. Návrh na změnu výchozího souborového systému z Ext4 na Btrfs včera schválilo FESCo a vrátilo ho k finálnímu schválení pracovní skupině kolem edice Workstation. Tam se zamítnutí nepředpokládá, takže se nyní řeší ne jestli, ale kdy ke změně dojde.

Ladislav Hagara | Komentářů: 13
včera 15:55 | IT novinky

Společnost SUSE kupuje společnost Rancher Labs. Společnost Rancher Labs je známá mimo jiné svou platformou Rancher pro řízení Kubernetes.

Ladislav Hagara | Komentářů: 10
včera 15:11 | Nová verze

Byla vydána verze 2.6.0 svobodného multiplatformního správce hesel KeePassXC (Wikipedie). Jedná se o komunitní fork správce hesel KeePassX s řadou vylepšení.

Ladislav Hagara | Komentářů: 10
včera 13:11 | Nová verze

Po téměř sedmi letech byla vydána nová verze 0.4 aplikace Getting Things GNOME! (GTG). Jedná se o osobní organizátor úkolů a seznamů TODO pro GNOME inspirovaný metodou organizace práce Getting Things Done (GTD). Prezentace GTG na YouTube. Zdrojové kódy jsou k dispozici na GitHubu. Balíček ve formátu Flatpak na Flathubu.

Ladislav Hagara | Komentářů: 0
včera 08:00 | Komunita

Novinky na stránkách linuxové distribuce Gentoo upozorňují na oficiální obrazy Gentoo pro Docker a novou verzi tarballu s Gentoo pro Android.

Ladislav Hagara | Komentářů: 0
7.7. 20:44 | Zajímavý software

Sdružení NIX.CZ představilo svůj první open source projekt. Jedná se o nástroj Bird Spy. Hlavním cílem Bird Spy je sledování stavu jednotlivých route serverů a vyhodnocování provozních údajů, především pro potřeby monitoringu. Sekundárním cílem je potom umožnit členům a zákazníkům vzdálený náhled na propojování v rámci platformy NIX.CZ.

Ladislav Hagara | Komentářů: 3
Používáte některé open-source řešení [protokol] pro šifrovaný instant messaging?
 (22%)
 (30%)
 (4%)
 (12%)
 (18%)
 (6%)
 (13%)
 (25%)
Celkem 319 hlasů
 Komentářů: 35, poslední dnes 02:05
Rozcestník

IBM – Softlayer

9. 5. 2016 | Redakce | Reklama | 3432×

Jedním z prvních aspektů cloudových služeb (cloud computing), o které se potenciální klient obvykle zajímá, je bezpečnost, ochrana dat a soulad s předpisy a zákony (compliance).

Na bezpečnost cloudových služeb se můžeme dívat dvojím pohledem. Jednak můžeme vyčíst všechny jednotlivé bezpečnostní prvky dostupné v cloudu a zvážit detailně jejich parametry a možnost použití nebo se můžeme soustředit na formální certifikace. Kromě konkrétních technických prostředků používaných pro zabezpečení cloudových služeb je a bude cloudová bezpečnost také otázkou důvěry. Při využívání cloudu jako prostředí pro provoz aplikací dochází ke ztrátě kontroly zákazníka nad některými bezpečnostními mechanizmy a částečný přesun zodpovědnosti za bezpečnost k poskytovateli cloudu.

Dostáváme se tak k obvyklému modelu informační bezpečnosti v cloudu, kterým je sdílená zodpovědnost mezi zákazníkem a poskytovatelem. Míra sdílení je závislá na typu poskytovaných/konzumovaných služeb. V případě obvyklého dělení cloudových služeb na IaaS (infrastruktura jako služba), PaaS (platforma jako služba) a SaaS (software jako služba), se obecně zodpovědnost zákazníka zmenšuje a zodpovědnost poskytovatele zvětšuje od IaaS, přes PaaS až k SaaS. V obou krajních případech je situace relativně jednoduchá. V případě IaaS poskytovatel zodpovídá za fyzickou bezpečnost datových center, serverů, datových úložišť, sítí a hypervisoru včetně softwaru používaného pro administraci.

V případě SaaS zodpovídá poskytovatel za „end-to-end“ bezpečnost běžící služby a zákazník zodpovídá pouze za přidělování přístupu oprávněným uživatelům a monitorování jejich přístupů. V případě PaaS (platforma jako služba) může nastat celá škála situací v závislosti na tom, jaký konkrétní typ platformy je poskytován. Důležité je vždy jasně definovat, kde končí zodpovědnost jedné strany a začíná zodpovědnost druhé strany. Na otázku přístupu k řešení bezpečnosti ve veřejném cloudu se dále podíváme na modelovém příkladu veřejného cloudu IBM SoftLayer. SoftLayer je typickým poskytovatelem infrastruktury jako služby (IaaS).

IaaS – datová centra

Přístup k řízení bezpečnosti v SoftLayeru vychází z amerického standardu NIST 800-53, který vydala Divize počítačové bezpečnosti (Computer Security Division) při Národním institutu pro normy a technologie (National Institute of Standards and Technology). V rámci určeném tímto standardem řeší SoftLayer implicitní bezpečnost vyplývající z architektury a užívaných provozních postupů.

Fyzické zabezpečení a ostraha datových center je řešena v souladu s moderními standardy včetně stálé fyzické ostrahy, prostředků pro zamezení přístupu nepovolaných osob, kamerových a biometrických bezpečnostních systémů. Veškerý hardware je označen pouze čarovým kódem a nenese žádné označení zákazníka nebo provozované aplikace. K fyzickému zabezpečení se přidávají i potřebné provozní postupy. Bezpečnost provozu je zajištěna interním školením personálu na průmyslové standardy a kontrolována každoročním auditem. Klíčové komponenty a systémy jsou zabezpečeny proti živelným pohromám a výpadkům geografickou diverzifikací. Data na discích jsou po použití mazána postupem schváleným Ministerstvem obrany Spojených států amerických (DoD). Veškerá opatření vně i uvnitř datových center jsou prověřována externími auditory a výsledné detailní protokoly jsou zákazníkům k dispozici pro jejich vlastní případné bezpečnostní certifikace.

Datová centra jsou provozována v souladu s auditovacím standardem pro servisní organizace SSAE16/SOC2. Zacházení s citlivými daty o držitelích platebních karet se řídí souborem mezinárodních bezpečnostních standardů Payment Card Industry Data Security Standard (PCI DSS). Další certifikace zajímavé z hlediska bezpečnosti a standardů jsou Safe Harbor, FISMA a HIPAA. Všechna datová centra prošla nebo procházejí certifikací podle ISO 27001 včetně dodatků ISO27017 a ISO27018. Nově vybudovaná datová centra jsou certifikována vždy v dalším certifikačním/recertifikačním cyklu pro všechna datová centra. Výhodou je též fakt, že všechna datová centra jsou budována podle stejné šablony. Je tedy zaručeno, že bezpečnostní architektura a postupy ověřené a používané klientem pro řešení umístěné v jednom datovém centru budou stejně vyhovující v jiném datovém centru a významně se tím snižuje také možnost lidské chyby. SoftLayer tak poskytuje bezkonkurenční ochranu pro finanční, zdravotní i vládní data.

IaaS – servery

SoftLayer nabízí tři možnosti pronájmu výpočetní kapacity datového centra. Dedikovaný fyzický (tzv. bare-metal) server, virtuální server na sdíleném hardwaru a virtuální server na dedikovaném hardwaru. To umožňuje potřebnou granularitu úrovně bezpečnosti.

Pro běžný provoz je možné využít virtuální server na sdíleném hardwaru. Pracovní zátěž podléhající určitým nařízením a předpisům, které vylučují sdílení, je možné provozovat ve virtuálním prostředí na dedikovaném hardwaru nebo rovnou na dedikovaném fyzickém serveru. Pro takovou zátěž není tedy nutné pracně analyzovat bezpečnostní rizika např. na úrovni hypervizoru. Pokud uživatel rozhodne nevyužít standardní nabídku virtualizace a provozovat vlastní virtualizaci pak odpovídá za instalaci a konfiguraci hypervizoru. Na druhou stranu má hypervizor plně pod kontrolou a může uplatňovat bezpečnostní standardy podobně, jako v případě provozování lokální infrastruktury.

V nabídce volitelného zabezpečení pro uživatele je také možnost využívat technologii Intel TXT spolu s fyzickými servery.

IaaS - sítě

SoftLayer používá na trhu unikátní síťovou infrastrukturu. Každý server může být přístupný po třech různých sítích, veřejné, privátní a administrativní. Poslední dvě sítě jsou dostupné jen pomocí VPN spojení (virtual private network). VPN spojení je možné navázat přímo z uživatelského portálu přes protokol SSL, PPTP nebo IPSec. Veřejná síť je kompletně fyzicky oddělená od privátní a administrativní, což snižuje bezpečnostní rizika. U síťových prvků, jako jsou firewally nebo brány, je opět možnost objednat sdílený prvek nebo dedikovaný prvek spravovaný přes uživatelský portál nebo i dedikovaný prvek s nativními prostředky pro správu a přístupem do konzoly. Vlastní síťová infrastruktura datového centra je pochopitelně sdílená na úrovni kabelů, směrovačů (router) a přepínačů (switch).

Síťový provoz je však spolehlivě izolován na základě prověřené technologie VLAN a řízení přístupu pomocí ACL (Access Control List). Uživatel má možnost správy VLANů přímo z uživatelského portálu včetně objednávky nových VLANů a nastavení či zakázání prostupu mezi nimi. Infrastruktura SoftLayeru zahrnuje také zařízení na detekci DDoS útoků. V provozu je nepřetržitě síťové operační centrum (Network Operation Center, NOC), které dohlíží na síťový provoz.

IaaS – operační systém

Softlayer poskytuje katalog standardních šablon pro operační systémy. Taková standardní šablona nemusí nutně obsahovat poslední bezpečnostní záplaty. To má praktický význam v tom, že ne každý software je certifikován pro nejnovější úroveň záplat a odinstalovat nechtěné updaty může být problém. Je na zákazníkovi, aby definoval, jakou úroveň operačního systému potřebuje z hlediska bezpečnosti a funkčnosti. SoftLayer nabízí možnost aktualizace operačního systému a instalace záplat pro systémy Windows a Linux (např. Red Hat) na své vnitřní síti, zdarma a s neomezeným objemem dat. Zákazník má jistotu, že veškeré updaty pocházejí z důvěryhodného zdroje.

Servery s těmito operačními systémy tak není nutno připojit na veřejnou síť. Zákazník může uplatnit pro bezpečnost veškeré své interní předpisy a nástroje. Pro zvolení správné úrovně zabezpečení je pochopitelně možné využít též nabídku volitelného zabezpečení. SoftLayer nabízí řadu volitelných služeb, které uživatel může přidat do svého prostředí k zajištění požadované bezpečnosti. Některé služby jsou zpoplatněny, ale mnohé jsou zahrnuty v ceně objednaných serverů. Hlavní koncepcí nabízených služeb je však jednoduchost použití, neboť SoftLayer se řídí zásadou, že čím jednodušší je použití služeb, tím více se budou využívat. Mezi takové volitelné položky patří vyhledávání zranitelností, host based firewall, antivirový program nebo IDS a IPS programy. SoftLayer používá k vyhledání zranitelnosti automatické skenování bezpečnostních slabin pomocí nástroje Nessus. Infrastruktura pro opakované provádění skenů je již předinstalována.

Po spuštění skenu nástroj nejprve vyhledá otevřené služby. Následně pak porovná výsledky s databází, která obsahuje známé konfigurační chyby a zranitelnosti. Výstupem je komplexní report, ve kterém jsou obsaženy nejen nalezené zranitelnosti, ale i doporučený postup jejich odstranění. Veškerá správa skenů a reportů se provádí z prostředí uživatelského portálu, tedy velmi snadno a bez potřeby specializovaných znalostí. Tato služba je zdarma pro každý pronajatý fyzický nebo virtuální server. Rovněž správu politik a prohlížení antivirových skenů může provádět uživatel prostřednictvím uživatelského portálu, bez nutnosti přihlásit se do konkrétního operačního systému. Volitelně je možné přidat též systém pro detekci spywaru a odhalení průniku (tzv. IDS, Intrusion Detection System a IPS, Intrusion Protection System), který lze opět spravovat z prostředí uživatelského portálu. Tato služba je již zpoplatněna.

IaaS – storage a šifrování dat

Úložné systémy poskytují podobné možnosti, jako např. síťové prvky nebo servery. V nabídce je široké spektrum variant od sdílených disků přes dedikované disky až po dedikovaná disková pole. Zákazník má možnost výběru s ohledem na uplatnění interních nebo zákonných předpisů a nařízení. U sdílených (multi-tenant) úložných systému je v architektuře důsledně implementována strategie „write-before-read“. To znamená, že datové bloky jsou uživateli dynamicky alokovány teprve tehdy, až na ně zapíše. Žádný prostor na úložišti není „předalokovaný“.

Uživatel tedy nemá žádnou možnost, jak přečíst data, která mohla zůstat po jiném uživateli, ať už v operaci blokového čtení nebo v rámci operace načtení souboru. Bloky navíc nejsou alokovány souvisle, ale náhodně rozprostřeny po řádově stovkách disků. SoftLayer neposkytuje žádnou jednoduchou službu typu šifrování dat na stisknutí tlačítka. Jedním z důvodů je opět ochrana dat zákazníka. Implementace takové služby by implikovala, že SoftLayer bude spravovat a vlastnit „master key“ pro dekódování dat. Místo toho je poskytována infrastruktura a součinnost pro rozšíření vlastního existujícího řešení zákazníka na „hybridní prostředí“ zahrnujícího zdroje umístěné v prostředí SoftLayeru.

U dedikovaných úložišť je pak snadné implementovat vlastní řešení pro šifrování dat. Pokud zákazník nemá vlastní řešení pro šifrování dat a správu klíčů, pak SoftLayer nabízí řešení ICDES (IBM Cloud Data Encryption Service, https://www.i-c-d-e-s.com/). Při jeho použití má zákazník veškerou bezpečnost šifrovaných dat plně pod svou kontrolou. ICDES má zabudovanou vlastní správu klíčů, které jsou bezpečně uloženy spolu s daty. Zákazník tak nepotřebuje žádný vlastní systém pro správu klíčů. Avšak klíče je možné také exportovat a uložit v libovolném systému pro správu klíčů, který je kompatibilní s protokolem KMIP (Key Management Interoperability Protocol). SoftLayer nabízí též pronájem HSM (Hardware Security Module, SafeNet Luna) pro bezpečné ukládání klíčů.

IaaS – správa identit, logování, monitorování

Hlavním nástrojem pro obsluhu prostředí SoftLayer je samoobslužný uživatelský portál. Portál integruje celou škálu samoobslužných funkcí od objednávek prostředí, přes správu prostředí, monitoring, zadávání požadavků na helpdesk, správu VPN až po fakturaci. Uživatelský portál umožňuje definovat další uživatele a přiřadit jim role. V rámci rolí je pak možné jemně nastavit přístupová práva k funkcím portálu. Pro kontrolu přístupu k portálu je možné nastavit také expiraci hesla, bezpečnostní otázky, včetně jejich vynucení, omezení přístupu na portál jen pro určité IP adresy (např. přístup na portál jen z podnikového intranetu) a samozřejmě zakázat uživateli toto nastavení měnit.

Výhodou je též možnost nastavení dvou-faktorové autentizace. Součástí možností portálu je také možnost navázání VPN. Nutno dodat, že se jedná o VPN řešení pro administrativní přístup, případně pro přesun dat mezi servery nebo mezi prostředím uživatele a servery. Možnost užívat VPN je v ceně. Uživatel se tak dostane na vnitřní síť SoftLayeru. Veškeré přístupy přes uživatelský portál jsou auditovány a logy jsou dostupné přímo z prostředí portálu, pokud má uživatel patřičná oprávnění. Doporučený produkční přístup přes VPN je řešený pomocí brány. Takovou bránou je Vyatta gateway appliance. Jedná se o uživatelem plně konfigurovatelnou bránu, která poskytuje služby jako firewall, VPN, NAT (network address translation), vyvažování zátěže (load balancing). Pracuje též jako směrovač (router) mezi VLANy a poskytuje služby typu QoS (quality of service). Pomocí zařízení Vyatta je možné nastavit prostředí, kde je např. zcela zakázán přístup k serverům s výjimkou intranetu uživatele. SoftLayer také umožňuje uživatelům vybudovat vlastní řešení pro připojení na bázi komerčních technologií Vyatta, Juniper, OpenVPN a Cisco. Poslední možností připojení do vnitřní sítě SoftLayeru je přímá linka přes TELCO poskytovatele.

Závěr

IBM SoftLayer jako poskytovatel služby IaaS formou veřejného cloudu představuje robustní prostředí pro provozování nejrůznějších typů aplikací. Díky implementaci zabezpečení na různých úrovních (fyzické, síťové, operační) je zároveň i platformou bezpečnou. Mezi základní bezpečnostní prostředky používané v cloudu IBM SoftLayer patří vyhledávání zranitelností, antivirová a anti-spywarová ochrana, ochrana proti útokům na úrovni hostitelského počítače (host-based intrusion protection), firewall a ochrana proti síťovým útokům (IPS, DDoS), Virtual Private Networking (VPN), dvou-faktorová autentizace do portálu, SSL certifikáty a podpora šifrovaného spojení a šifrování uložených dat.

       

Hodnocení: 25 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.