Microsoft Azure Platformasında Təhlükəsizlik konseptləri.

1-ci hissə

Bu məqalədə Azure platformasında təhlükəsizliyin təmin edilməsi mövzusunu mümkün qədər sadə şəkildə analiz etməyə çalışacağıq.

Təhlükəsizlik – “Cloud”-da proqramların­­ yerləşdirilməsi zamanı diqqət tələb edən ən mühüm məsələlərdəndir. Cloud hesablarının artan populyarlığı xüsusilə resursların bölünməsi və multitenantlığın təmin olunması fonunda təhlükəsizlik məsələlərinə diqqəti daha da artırır.

Multitenantlıq aspektləri və Cloud plarformalarının virtualizasiyası, bəzi unikal təhlükəsizlik metodlarının istifadəsində xüsusən də gündən-gündən artan side-channel attack (fiziki realizasiya haqqında informasiya əldə etməyə məqsədlənən hücum) növlü hücumların qarşısının alınmasında zərurət yaradır.

Azure platformasını 7 iyun 2012-ci ildən etibarən Saas, PaaS və ya digər platformalar kimi konkret şəkildə adlandırmaq düzgün deyil, çünki bu platforma həddindən artıq çox xidmətləri özündə birləşdirir. Məhz bu tarixdən etibarən, bir çox yeni funksionallıqlar portala əlavə edilmişdir.

Microsoft, proseslərin təhlükəsiz mühitdə həyata keçirilməsini, eləcə də təhlükəsizliyin əməliyyat sistemi və infrastruktur səviyyəsində təmin olunmasına xüsusi diqqət ayırır. Faktiki olaraq, Azure bəzi təhlükəsizlik aspektlərini lokal infrastrukturda mümkün olandan daha yaxşı təklif edir. Məsələn, Azure platformasının yerləşdiyi mərkəzlərin fiziki təhlükəsizliyi, şəbəkə müdafiəsi, əməliyyatların yerinə yetirilmə mühiti və əməliyyat sisteminin müdafiəsinin təmin edilməsi, ənənəvi xostinqlərdən əhəmiyyətli dərəcədə yüksəkdir.

Beləliklə, Cloud-da yerləşdirdiyiniz proqramların təhlükəsizliyi daha etibarlı şəkildə qorunur. 2011-ci ilin Noyabr ayında Microsoft Azure və onun informasiya təhlükəsizliyinin idarə edilməsi sistemi British Standarts Institute tərəfindən ISO27001 serifikasiyası ilə təltif edilmişdir. Hal-hazırda platformanin sertifikatlanmış hissəsinə – Computing, VM və Storage daxildir.

Ümumilikdə, hər hansı Cloud platforma müştəri məlumatlarının təhlükəsizliyini aşağıdakı 3 əsas element üzrə təmin edir:

• Konfidensiallıq (Confidentiality)     
• Tamlıq (Integrity)
• Əlçatanlıq (Availability)

Azure platforması bu məsələdə istisna deyil. Qeyd etdiyimiz bu 3 element üzrə (CIA Triad) Azure platformasında istifadə olunan texnologiyalar və metodlar haqqında daha ətraflı şəkildə aşağıda məlumat alacağıq.

1. Confidentiality

Konfidensiallığın təmin edilməsi müştəridə əminlik yaradır ki, onun məlumatlarına yalnız icazəsi olan obyektlərin daxil olma icazəsi olacaqdır. Bu obyektlərə müəyyən servislər, istifadəçilər və sairə daxil olma icazəsi üçün müraciət edən API-lər ola bilər.

Microsoft Azure platformasında konfidensiallıq əsasən aşağıdakı metodlar ilə təmin olunur:

• İdentifikasiya – Autentifikasiya olunan obyektin, hər hansı bir resursa girişinin müəyyən edilməsi.
• İzolasiya – Məlumatların fiziki və məntiqi səviyyədə «konteynerlər» vasitəsilə izolasiyasının təmin edilməsi.
• Şifrələnmə – Məlumatların əlavə olaraq şifrələnmə mexanizmləri vasitəsilə qorunması.

• İdentifikasiya:

İlk olaraq qeyd edək ki, sizin subscription-a girişiniz Windows Live ID təhlükəsizlik sistemi vasitəsilə həyata keçirilir. Bu sistem təhlükəsizlik vasitəsi olaraq ilk sistemlərdəndir və ən etibarlı autentifikasiya sistemlərindən sayılır. Açılmış servislərə giriş icazəsi qeydiyyat siyahısına əsasən nəzarət edilir.

Proqramların icra edilməsini Azure-da 2 vasitə ilə həyata keçirmək mümkündür:

• Microsoft Azure portalı ilə
• Service Management API (SMAPI) vasitəsilə.

SMAPI veb-servisləri proqramçılar üçün nəzərdə tutulub. SMAPI REST protokolu vasitəsi ilə təqdim edilir və SSL/TLS protokolu üzərindən işləyir.

SMAPI autentifikasiya hər bir istifadəçi üçün “private” və “public” açarlardan ibarət açar cütünün + “self-signed” sertifikatın yaradılması üzərində qurulur. Belə ki, Microsoft Azure portalından qeydiyyatdan keçirlər. Beləliklə proqramların kritik prossesləri sizin öz sertifikatlarınız və açarlarınız ilə müdafiə olunur. Ümumi məlumatlar aşağıdaki cədvəldə təqdim edilib:

Qeyd etmək lazımdir ki, storage məsələsinə gəldikdə istifadəçinin hüquqlarını müəyyən etmək üçün “Shared Access Signatures” istifadə etmək olar.

Shares Access Signature əvvəllər yalnız blob-storage üçün aktiv idi, bu isə storage account-ların sahiblərinə imkan verirdi ki, müəyyən imzalanmış uri-lərini blob-storage girişinin təmin edilməsi üçün istifadə etsinlər. İndi isə “Shared Access Signature” blob-storage və konteynerlərlə yanaşı, həm də Table və Queue üçün aktivdir.

Bu özəlliyi daxil etməzdən əvvəl, Table və ya Queue üzrə hər hansı bir CRUD (Create, Read, Update, Delete) əməliyyatını yerinə yetirmək üçün, mütləq akkauntun sahibi (account owner) olmaq zəruri idi. İndi isə “Shared Access Signature” tərəfindən imzalanmış linki və lazım olan hüquqları digər deleqasiya edilmiş istifadəçilərə də təqdim etmək olar. “Shared Access Signature” funksionallığının özəlliyi ondan ibarətdir ki, resurslara əlçatanlığın ətraflı kontrolunu, yəni istifadəçinin “Shared Access Signature”-ə sahib olduğu zaman, hər bir resurs üzərində hansı əməliyyatları dəqiqliklə yerinə yetirə biləcəyini təyin etmək olur. “Shared Access Signature” yaradılması zamanı təyin ediləcək mövcud olan elementlər bunlardır:

• Məzmunun oxunması və qeydə alınması – Blob-storage variantında bura həmçinin, onların property-lərinin və metadata-larının oxunması da daxildir.
• Silinmə, lizinq (tokenin etibarlılıq müddəti), blob-storage-lərin snapshot- larının yaradılması.
• Məzmunların siyahısının (list of contents) əldə edilməsi.
• Metadata növbələrinin (queue), həmçinin mesaj miqdarının əldə edilməsi.

“Shared Access Signature” özündə storage məlumatına girişi icazəsini təqdim etmək üçün bütün informasiyanı birləşdirir.

URİ-a müraciət parametrləri zaman intervalını təyin edir, hansı ki, bu təyin edilmiş müddətdən sonra icazə qüvvədən düşür və siz artıq resursdan istifadə edə bilmirsiniz. “Shared Acces Signature” tərəfindən təqdim olunan icazələrdə, giriş icazəsi tələb olunan resurslar, autentifikasiyanın keçməsi üçün lazım olan vasitələr, eləcə də icazə növü yerləşir.

“Shared Access Signature” əlbəttə ki, HTTPS protokolunun istifadəsi ilə yayılmalıdır və icazəni əməliyyatların yerinə yetirilməsi üçün maksimal qısa zaman çərçivəsində verməlidir.

“Shared Access Signature” istifadəsi üçün tipik nümunə “Address Book” servisidir. Onun tərtib şərtlərindən biri böyük istifadəçi kütləsinə yararlı olmaqdır. Servis istifadəçiyə imkan yaradır ki, öz adres kitabçasını Cloud-da saxlasın və ona daxil olma icazəsini istənilən cihazdan və proqramdan əldə etsin. İstifadəçi servisin xidmətlərinə yazılır və ünvan kitabçasını (Address Book) alır. Bu senarini Microsoft Azure RBAC (Role-based Access Control) modeli ilə də reallaşdırmaq olar, onda servis müştəri proqramı və Cloud-un storage servisi arasında işləyəcək. Müştəri, proqramın autentifikasiyasından sonra ünvan kitabçasına daxil olma icazəsini servisin web-interfeysi vasitəsilə əldə edəcək.

Təhlükəsizliyin təmin edilməsinin əlavə tədbirlərindən biri, ən az imtiyaz prinsipidir. Bu prinsipə əsasən, müştərilərə virtual maşınlara “admin” giriş hüquqları bağlıdır (yadımıza salaq ki, Azure virtualizasiya əsasında işləyir), onların açdığı proqramlar isə xüsusi məhdudlaşdırılmış akkaunt vasitəsi ilə həyata keçirilir. Beləliklə sistemə giriş hüququ almaq istəyən, “promote” prosedurunu keçməlidir.

Azure və digər şəbəkələr arasında ötürülən hər məlumat, SSL/TLS ilə etibarlı şəkildə qorunur. Əksər hallarda SSL sertifikatlar self-signed formasında olur.

İstisna hallar – məlumat ötürülməsi Azure platformasının daxili şəbəkəsinin xaricində baş verməsi zamanı mümkündür. Məsələn, storage və “fabric controller” servisləri üçün Azure platformasının öz mərkəzi sertifikasiya sistemi tərəfindən verilən sertifikatlar istifadə edilir.

Davamı var…