Uyumluluk genel görünümü

Güvenlik prensipleri

Endüstri standardı güvenlik ilkeleri, uyumluluk sertifikaları ve tasdiknameleri için temel sağlar. Bu ilkeler bir OpenStack dağıtımında dikkate alınır ve atıfta bulunulursa, sertifikalandırma faaliyetleri basitleştirilebilir.

Katmanlı savunma

Bir bulut mimarisinde risklerin nerede olduğunu belirleyin ve riskleri azaltmak için kontrolleri uygulayın. Önemli endişe duyulan alanlarda, katmanlı savunma, riski kabul edilebilir bir seviyeye indirmek için birden fazla tamamlayıcı kontrol sağlar. Örneğin, bulut kiracıları arasında yeterli izolasyonu sağlamak için, :term:` QEMU <Quick EMUlator (QEMU)>`yu, SELinux desteği olan bir hypervisor kullanarak, zorunlu erişim kontrolü politikalarını zorlayan ve genel saldırı yüzeyini azaltan bir sıkılaştırma öneriyoruz. Temel ilke, bir alanı ilgilendiren bir alanı birden fazla katmanla sıkılaştırmak ve herhangi bir katmanın ele geçirilmesi durumunda koruma sağlayacak ve pozlamayı en aza indirecek diğer katmanların var olacağı şekilde sıkılaştırmaktır.

Güvenli başarısız olma

Başarısızlık durumunda, sistemler kapalı güvenli bir durumda başarısız olacak şekilde yapılandırılmalıdır. Örneğin, CNAME sunucunun DNS adıyla eşleşmezse, TLS sertifika doğrulaması ağ bağlantısını keserek başarısız olmalı. Bu durumda otomatik olarak yazılım başarısız olur ve bağlantı, CNAME ile eşleşmeden devam edebilir ve bu da daha az güvenlidir ve önerilmez.

En az ayrıcalık

Kullanıcılar ve sistem hizmetleri için yalnızca minimum erişim seviyesi verilir. Bu erişim rol, sorumluluk ve iş işlevine dayanmaktadır. En az ayrıcalıklı güvenlik ilkesi, Amerika Birleşik Devletleri’ndeki NIST 800-53 Kısım AC-6 gibi bir dizi uluslararası hükümet güvenlik politikasında yazılıdır.

Bölümler ayırmak

Sistemler, bir makine veya sistem düzeyindeki hizmetten ödün verilmesi durumunda diğer sistemlerin güvenliğinin bozulmayacağı şekilde ayrılmalıdır. Pratikte, SELinux’un etkinleştirilmesi ve doğru kullanılması bu amaca ulaşılmasına yardımcı olur.

Gizliliği yükseltmek

Bir sistem hakkında toplanabilecek bilgi miktarıdır ve onun kullanıcıları azaltılmalıdır.

Günlükleme yeteneği

Yetkisiz kullanımı, olay tepkisi ve adli tıpı izlemek için uygun günlük kaydı uygulanmaktadır. Çoğu ülkede onaylanmayan olay kayıtları sağlayan Common Criteria sertifikalı seçilmiş denetim alt sistemlerini öneriyoruz.

Yaygın kontrol çatıları

Aşağıdaki, bir organizasyonun kendi güvenlik kontrollerini oluştururken kullanabileceği Kontrol Çatılarının bir listesidir.

Bulut Güvenlik Birliği (CSA) Yaygın Kontrol Matrisi (CCM)

CSA CCM, bulut satıcılarını yönlendirmek ve muhtemel bulut müşterilerine bir bulut sağlayıcının genel güvenlik riskini değerlendirmede yardımcı olmak için temel güvenlik ilkeleri sağlamak üzere özel olarak tasarlanmıştır. CSA CCM, 16 güvenlik bölgesi arasında hizalanan bir kontrol çerçevesi sağlar. Bulut Denetimleri Matrisinin temeli servis organizasyonu kontrol raporlarını tasdiklemek için, ISO 27001:2013, COBIT 5.0, PCI:DSS v3, AICPA 2014 Güven Hizmet İlkeleri ve Kriterleri ve iç kontrol yönünü artıran diğer endüstri standartları, yönetmelikleri ve kontrol çerçeveleri ile kişiselleştirilmiş ilişkisine dayanmaktadır.

CSA CCM buluttaki güvenlik tehdit ve zayıflıklarını azaltarak mevcut güvenlik bilgi kontrol ortamlarını güçlendirir, standartlaştırılmış güvenlik ve operasyonel risk yönetimi sağlar ve güvenlik beklentilerini, bulut taksonomisini ve terminolojiyi ve bulutta uygulanan güvenlik önlemlerini normalleştirmeyi amaçlar.

ISO 27001/2:2013

ISO 27001 Bilgi Güvenliği standardı ve sertifikası, kuruluşların Bilgi En iyi güvenlik uygulamaları ile uyumlaştırmasını değerlendirmek ve ayırmak için uzun yıllardır kullanılmaktadır. Standart, iki bölümden oluşur: Bilgi Güvenliği Yönetim Sistemini (ISMS) tanımlayan Zorunlu Hükümler ve etki alanı tarafından düzenlenen denetimlerin bir listesini içeren Ek A.

Bilgi güvenliği yönetim sistemi, bir risk yönetimi süreci uygulayarak bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korur ve ilgili taraflara risklerin yeterince yönetildiğine güven verir.

Güvenilen Güvenlik Prensipleri

Güven Servisleri, BT destekli sistemlerin ve gizlilik programlarının risk ve fırsatlarını ele alan temel bir dizi ilke ve kritere dayanan bir dizi profesyonel onaylama ve danışmanlık hizmetidir. SOC denetimleri olarak yaygın olarak bilinen ilkeler, gereksinimin ne olduğunu tanımlar ve gereksinimi karşılayan denetimi tanımlamak organizasyonların sorumluluğundadır.

Denetim referansı

OpenStack pek çok açıdan yenilikçi olmakla birlikte, bir OpenStack dağıtımını denetleyen süreç oldukça yaygındır. Denetçiler, bir süreci iki kritere göre değerlendirecektir: Kontrol etkin bir şekilde tasarlanmış mı ve kontrol etkin bir şekilde çalışıyor mu? Denetçinin, bir denetim tasarlanıp tasarlanmadığında nasıl değer biçtiğini anlayabilmek için Denetim sürecini anlamak bölümünde tartışılacaktır.

Bulut dağıtımının denetlenmesi ve değerlendirilmesi için en yaygın çerçeveler, daha önce bahsedilen ISO 27001/2 Bilgi Güvenliği standardı, ISACA’nın Bilgi ve İlgili Teknoloji için Kontrol Hedefi (COBIT) çerçevesi, Treadway Komisyonunun Sponsor Kuruluşları Komitesi (COSO) ve Bilgi Teknoloji Altyapı Kütüphanesi (ITIL). Denetimlerin, bu alanlardan bir veya daha fazlasından odaklanma alanlarını dahil etmesi çok yaygındır. Neyse ki, çerçeveler arasında çok fazla örtüşme var, bu nedenle, bir tanesi benimseyen bir organizasyon denetim zamanında iyi bir konuma gelecektir.