Uyum faaliyetleri

Uyum sürecinde büyük ölçüde yardımcı olacak bir dizi standart etkinlik vardır. Bu bölüm, en yaygın uyum etkilnliklerinden bazılarını özetlemektedir. Bunlar OpenStack’a özgü değildir, ancak bu kitapta ilgili bölümlere yararlı içerik olarak referanslar verilmektedir.

Bilgi Güvenliği Yönetim Sistemi (ISMS)

Bir Bilgi Güvenliği Yönetim Sistemi (ISMS), bir organizasyonun bilgi varlıkları için riski yönetmek için oluşturduğu ve koruduğu kapsamlı bir politika ve süreçler dizisidir. Bulut dağıtımları için en yaygın ISMS, ISO / IEC 27001/2 olup, daha katı uyum sertifikası sağlamak için sağlam bir güvenlik kontrolü ve uygulaması zemini oluşturmaktadır. Bu standart, bulut hizmetlerinin gittikçe artan kullanımını yansıtacak şekilde 2013 yılında güncellendi ve bir kuruluşun ISMS’in ne kadar iyi performans gösterdiğini ölçmek ve değerlendirmek için daha fazla önem verdi.

Risk değerlendirmesi

Bir risk değerlendirme çatısı, bir organizasyonda veya hizmette riskleri tanımlar ve uygulama ve azaltma stratejileri ile birlikte bu risklerin sahipliğini belirtir. Riskler, teknik kontrollerden çevre felaket senaryolarına ve insan unsurlarına kadar, hizmetin tüm alanlarına uygulanır. Örneğin, içeriden bir kötü niyetli. Riskler çeşitli mekanizmalar kullanılarak derecelendirilebilir. Örneğin olasılıkla çarpışma. Bir OpenStack dağıtım risk değerlendirmesi, kontrol boşluklarını içerebilir.

İncelemelere erişim ve günlükleme

Bir servisdağıtımında kimlik doğrulama, yetkilendirme ve hesap verebilirlik sağlamak için periyodik erişim ve günlük incelemeleri gereklidir. Bu konularda OpenStack için özel rehberlik ayrıntılı olarak ele alınmaktadır İzleme ve günlükleme.

The OpenStack Identity service supports Cloud Auditing Data Federation (CADF) notification, providing auditing data for compliance with security, operational, and business processes. For more information, see the Keystone developer documentation.

Yedekleme ve felaket kurtarma

Felaket Kurtarma (DR) ve İş Sürekliliği Planlama (BCP) planları, ISMS ve uyumluluk faaliyetleri için ortak gereksinimlerdir. Bu planlar belgelenmiş olduğu kadar periyodik olarak test edilmelidir. OpenStack’te kilit alanlar, yönetim güvenlik alanlarında ve tek arıza noktalarının (SPOF’ların) tespit edilebildiği her yerde bulunur.

Güvenlik eğitimi

Yıllık, role özgü, güvenlik eğitimi hemen hemen tüm uyumluluk sertifikaları ve tasdikleri için zorunlu bir gerekliliktir. Güvenlik eğitiminin etkinliğini en iyi duruma getirmek için ortak bir yöntem, örneğin geliştiricilere, operasyon personeli ve teknik olmayan çalışanlara role özel eğitim sağlamaktır. Ek sertifika kılavuzuna dayalı ek bulut güvenliği veya OpenStack güvenlik eğitimi ideal olacaktır.

Güvenlik gözden geçirmeleri

OpenStack popüler bir açık kaynak projesi olduğu için, kod tabanı ve mimarinin büyük kısmı bireysel katılımcılar, kuruluşlar ve işletmeler tarafından incelenmiştir. Bu, bir güvenlik bakış açısından avantajlı olabilir; ancak, güvenlik incelemelerine duyulan ihtiyaç, servis sağlayıcılar için, dağıtımlar değiştiği ve güvenlik her zaman katkıda bulunanlar için birincil endişe olmadığı için kritik bir husustur. Kapsamlı bir güvenlik inceleme süreci mimari inceleme, tehdit modelleme, kaynak kodu analizi ve penetrasyon testi içerebilir. Kamuya açıklanabilecek güvenlik incelemeleri yapmak için birçok teknik ve tavsiyeler bulunmaktadır. İyi denenmiş bir örnek, Microsoft Güvenilir Bilgi İşlem Girişiminin bir parçası olarak oluşturulan Microsoft SDL <http://www.microsoft.com/security/sdl/process/release.aspx> _ ‘dir.

Güvenlik açığı yönetimi

Güvenlik güncelleştirmeleri, özel veya herkese açık olan herhangi bir IaaS dağıtımında kritik önem taşır. Güvenlik açığı olan sistemler saldırı yüzeylerini genişletir ve saldırganlar için bariz hedeflerdir. Sık kullanılan tarama teknolojileri ve güvenlik açığı bildirim hizmetleri, bu tehdidi azaltmaya yardımcı olabilir. Taramaların doğrulanması ve azaltıcı stratejilerin basit çevresel güçlendirmenin ötesine geçmesi önemlidir. OpenStack gibi çok kiracılı mimariler özellikle hypervisor güvenlik açıklarına yatkındır ve bu güvenlik açığı, güvenlik açığı yönetimi için sistemin kritik bir parçası haline gelir.

Veri sıfınlandırması

Veri Sınıflaması, müşteri bilgilerini yanlışlıkla veya kasıtlı olarak çalınması, kaybı veya uygunsuz şekilde ifşa etmemesi için bilgilerin sınıflandırılması ve ele alınması için bir yöntem tanımlar. En yaygın olarak, bu bilgi hassas veya hassas olmayan olarak veya kişisel olarak tanımlanabilir bilgi (PII) olarak sınıflandırmayı içerir. Dağıtımın bağlamına bağlı olarak, çeşitli sınıflandırma kriterleri kullanılabilir (hükümet, sağlık bakımı). Temel ilke, veri sınıflandırmalarının açıkça tanımlanmış ve kullanımda olmasıdır. En yaygın koruyucu mekanizmalar endüstri standardı şifreleme teknolojilerini içerir.

İstisna süreci

İstisna süreci, bir ISMS’in önemli bir bileşenidir. Bazı eylemler, bir organizasyonun tanımladığı güvenlik ilkeleri ile uyumlu olmadığında, günlüklenmesi gerekir. Uygun gerekçe, açıklama ve azaltma ayrıntılarının dahil edilmesi ve uygun otoriteler tarafından imzalanması gerekir. OpenStack varsayılan yapılandırmaları, çeşitli uygunluk kriterlerini karşılamak bakımından farklılık gösterebilir, uyumluluk gereksinimlerini karşılayamayan alanlar kaydedilmeli ve topluluğa katkıda bulunmak için olası düzeltmeler düşünülmelidir.