О моделях угроз для виртуализации и облачных вычислений
Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится.
Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей угроз? Оказывается все нет плачевно. Если не брать различные статьи по безопасности виртуализации (например, тут ), то есть неплохой документ от NIST - " Guide to Security for Full Virtualization Technologies " (SP 800-125). Пока это проект (документ опубликован в июле 2010 года), но он очень неплохо описывает (без привязки к вендорам) и саму технологию виртуализации, и ее проблемы с безопасностью, и рекомендации по защите. Тем, кто сейчас разрабатывает требования/рекомендации по защите виртуализации (а такие шаги сейчас предпринимают даже регуляторы), я бы рекомендовал отталкиваться именно от этого документа.
С моделью угроз для облачных вычислений все обстоит еще проще - образованный в 2009-м году Cloud Security Alliance (Cisco является его членом) опубликовал 1-го марта 2010 года первую версию модели угроз для облачных вычислений. В конце этого года планируется опубликовать вторую версию этого документа. На сайте альянса много и другой полезной информации по информационной безопасности для участников облачных вычислений.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.