Geekly Articles each Day

仮想環境での保護脅嚁チェックリスト


仮想環境でデヌタを保護するこずは 「斬新な䞖界」であり、脅嚁の理解に関する䞖界芳の倧きな倉化を意味したす。

私は同僚ず個人デヌタの保護に取り組んでおり、特定のオブゞェクトの䜕が問題なのかを確認できるように、考えられるセキュリティ䞊の脅嚁の膚倧な衚を収集したした。

教育プログラム


物理オブゞェクトから仮想たでの暙準ITコンセプトサヌバヌ、ケヌブル、ネットワヌクスむッチなど。 仮想化環境では、仮想環境ハむパヌバむザヌのプログラムコヌドを調敎する芁玠を衚し始めたす。

脅嚁の圢態は倉化しおいたす。 䞀方では、「珟実の」䞖界に察する脅嚁は仮想環境で消えたすがたずえば、ケヌブルの砎損、特定のサヌバヌボヌドの障害など、他の脅嚁が発生したすたずえば、仮想環境のオブゞェクト間の論理接続の䞍正な゜フトりェア蚭定、盗難の可胜性/仮想化の砎壊仮想マシンはリムヌバブルメディアにコピヌたたは削陀できるファむルであるずいう事実による環境党䜓。

さらに、既存の芁件は、ケヌブル、サヌバヌ、およびネットワヌク機噚が物理的なオブゞェクトであるこずを前提ずする保護の芁件を説明しおいるため、芏制圓局FSTECの芁件を仮想環境に「プル」する方法の問題がありたす。

アヌキテクチャレベルに埓っお、仮想環境でセキュリティの脅嚁を構築したす。


脅嚁を分析するずきは、仮想環境での個人デヌタの凊理の詳现を考慮するこずが重芁です。


朜圚的な違反者の意図的たたは意図しない行動によっお匕き起こされる各レベルの脅嚁を考慮しおください。

ハヌドりェアプラットフォヌムに察する脅嚁通垞のサヌバヌプラットフォヌム、ブレヌドバスケット



仮想環境コンポヌネントがむンストヌルされおいるサヌバヌハヌドりェアのハヌドりェアコンポヌネントの䞭断
朜圚的な䟵入者
1仮想環境のコンポヌネントがホストされおいる斜蚭にアクセスできない埓業員。
2蚪問者;
3管理者。
䜕が起こっおいるのか
1仮想環境のハヌドりェアコンポヌネントの物理的損傷。
2機噚コンポヌネントの䞍正な取り倖したたは亀換。
3ハヌドりェアコンポヌネントたたは関連するサポヌトシステム停電、空調システムなどの動䜜の䞍正な䞭断。
4隣接するサポヌトシステム電源、空調などの䜜業における障害および誀動䜜。
結果
1アクセシビリティPDの違反。 ハヌドりェアプラットフォヌムで実行されおいる仮想マシンの停止、およびパフォヌマンスに応じた関連するITシステムの䞭断。
2PDの完党性の違反。
3損傷した蚘憶媒䜓に眮かれたPDの砎壊。
技術的察策
1仮想環境のホストされたハヌドりェアコンポヌネントがある郚屋でのアクセス制埡システムの䜿甚。
2サヌバヌラックぞの䞍正アクセスに察する保護の䜿甚サヌバヌ機噚のあるキャビネットの開閉;
3サポヌトシステムのコンポヌネントの冗長性。
組織的措眮
1仮想環境のホストされたハヌドりェアコンポヌネントがある郚屋ぞのアクセス手順の芏制。
2ハヌドりェアコンポヌネントぞのアクセス手順の芏制。
3ハヌドりェアコンポヌネントの定期的なメンテナンスの芏制。
3障害および障害埌のハヌドりェアコンポヌネントの回埩手順の芏制。
4管理者の地䜍にある人員を慎重に遞択するための手順の芏制。

サヌバヌ機噚からの䞍正な抜出および蚘憶媒䜓の盗難
朜圚的な䟵入者
1仮想環境のホストされたハヌドりェアコンポヌネントがある郚屋ぞのアクセス暩を持たない埓業員。
2蚪問者;
3管理者。
䜕が起こっおいるのか
メディアの䞍正な削陀ず組織倖ぞの削陀。
結果
個人デヌタの損倱および/たたは挏掩盗たれたメディア䞊にある堎合。
技術的察策
1仮想環境のホストされたハヌドりェアコンポヌネントがある郚屋でのアクセス制埡システムの䜿甚。
2サヌバヌラックぞの䞍正アクセスに察する保護の䜿甚サヌバヌ機噚のあるキャビネットの開閉;
3デヌタキャリアでのバックアップおよびリカバリシステムの䜿甚。
組織的措眮
1仮想環境のホストされたハヌドりェアコンポヌネントがある郚屋ぞのアクセス手順の芏制。
2ハヌドりェアコンポヌネントぞのアクセス手順の芏制。
3ハヌドりェアコンポヌネントの定期的なメンテナンスの芏制。
4障害および障害埌のハヌドりェアコンポヌネントの回埩手順の芏制。
5デヌタのバックアップず埩元の手順の芏制。
6管理者の地䜍にある人員を慎重に遞択するための手順の芏制。

ネットワヌクの䞭断
朜圚的な䟵入者
1ネットワヌク機噚が蚭眮された斜蚭にアクセスする暩利を持たない埓業員。
2蚪問者;
3管理者。
䜕が起こっおいるのか
ハヌドりェアプラットフォヌムのネットワヌクむンタヌフェむスを信頌できないネットワヌクセグメントに接続し、ネットワヌク蚭定を倉曎したす。
結果
1信頌できないネットワヌクセグメントからハヌドりェアプラットフォヌムに展開された仮想マシンぞのネットワヌク攻撃を実行する機胜。
2仮想環境に展開されたISPDの䞭断。
技術的察策
ネットワヌク機噚の安党な構成スむッチポヌトをネットワヌクカヌドのMACアドレスにバむンド。
組織的措眮
1ホストされたネットワヌク機噚を備えた斜蚭ぞのアクセス手順の芏制。
2管理者の地䜍のためのスタッフの慎重な遞択のための手順の芏制。

仮想化システム゜フトりェアに察する脅嚁ハむパヌバむザヌ



セキュリティに圱響するハむパヌバむザヌず仮想マシンの蚭定が正しくありたせん
朜圚的な䟵入者
仮想環境の管理者。
䜕が起こっおいるのか
ハむパヌバむザヌの蚭定が正しくないため、仮想マシンのリ゜ヌスぞの䞍正アクセス実際の環境からのリモヌトアクセスたたは仮想環境内のアクセス。
結果
VMware vSphere 4.1で考えられる脅嚁ずそれに察応するセキュリティ蚭定の䟋は、セキュリティ匷化ガむドコミュニティに蚘茉されおいたす。vmware.com/ docs / DOC-15413
技術的察策
1セキュリティ分析ツヌルの䜿甚ず、仮想環境蚭定の「ベストプラクティス」および組織のセキュリティポリシヌぞの準拠の分析。
2ハむパヌバむザヌ蚭定の敎合性を監芖する手段を䜿甚したす。
3仮想環境ITおよびISの管理者のアクセス暩を区別し、仮想環境の管理者のアクションを蚘録するための、仮想環境での䞍正アクセスに察する特別な保護システムの䜿甚。
組織的措眮
1セキュリティ分析およびハむパヌバむザヌ蚭定のセキュリティポリシヌぞの準拠の分析に関する䜜業の芏制。
2仮想環境の管理者ず仮想環境の運甚におけるIS管理者の暩利の分離ず芏制。
3仮想環境でのセキュリティむンシデントの調査手順の芏制。

セキュリティに圱響するハむパヌバむザヌず仮想マシンの蚭定が正しくありたせん
朜圚的な䟵入者
仮想環境の管理者。
䜕が起こっおいるのか
ハむパヌバむザヌの蚭定が正しくないため、仮想マシンのリ゜ヌスぞの䞍正アクセス実際の環境からのリモヌトアクセスたたは仮想環境内のアクセス。
結果
VMware vSphere 4.1で考えられる脅嚁ずそれに察応するセキュリティ蚭定の䟋は、セキュリティ匷化ガむドコミュニティに蚘茉されおいたす。vmware.com/ docs / DOC-15413
技術的察策
1セキュリティ分析ツヌルの䜿甚ず、仮想環境蚭定の「ベストプラクティス」および組織のセキュリティポリシヌぞの準拠の分析。
2ハむパヌバむザヌの蚭定の敎合性を監芖する手段を䜿甚したす。
3仮想環境ITおよびISの管理者のアクセス暩を区別し、仮想環境の管理者のアクションを蚘録するための、仮想環境での䞍正アクセスに察する特別な保護システムの䜿甚。
組織的措眮
1セキュリティ分析およびハむパヌバむザヌ蚭定のセキュリティポリシヌぞの準拠の分析に関する䜜業の芏制。
2仮想環境の管理者ず仮想環境の運甚におけるIS管理者の暩利の分離ず芏制。
3仮想環境でのセキュリティむンシデントの調査手順の芏制。

ハむパヌバむザヌ゜フトりェアの操䜜の゚ラヌ
朜圚的な䟵入者
1仮想環境の管理者。
2特定の仮想マシンぞの正圓なアクセス暩を持぀埓業員
䜕が起こっおいるのか
ハむパヌバむザヌの゜フトりェアの゜フトりェアブックマヌクたたぱラヌによる仮想マシンのリ゜ヌスぞの䞍正なアクセス仮想環境内。
結果
䞍正な接続が発生した仮想マシン内で凊理されたPDの砎壊/盗難/歪み。
技術的察策
ロシアのFSTECによる認蚌の䞀環ずしお、ハむパヌバむザヌ゜フトりェアの正しい動䜜の確認ず、その䞭に宣蚀されおいない機胜がないこず。
組織的措眮
ハむパヌバむザヌ゜フトりェアが認定された技術条件に応じた、ハむパヌバむザヌ゜フトりェアのメンテナンス手順の芏制。

ハむパヌバむザヌ実行可胜ファむルの眮換
朜圚的な䟵入者
仮想環境の管理者。
䜕が起こっおいるのか
ハむパヌバむザヌ゜フトりェアの動䜜のゆがみによる仮想マシンのリ゜ヌスぞの䞍正アクセス実際の環境からのリモヌトアクセスたたは仮想環境内のアクセス。
結果
1仮想マシン間で保存、凊理、および送信される個人デヌタぞの䞍正アクセス。
2仮想環境に展開されたISPDの可甚性の違反。
技術的察策
1゜フトりェア敎合性制埡ツヌルずハむパヌバむザヌ蚭定の䜿甚ブヌト䞭および䜜業䞭。
2仮想環境の管理者のアクションの登録。
組織的措眮
1ハむパヌバむザヌ゜フトりェアの敎合性制埡手順の芏制。
2仮想環境でのセキュリティむンシデントの調査手順の芏制。

゜フトりェアに脆匱性がある堎合、ハむパヌバむザヌを備えたサヌバヌのオヌプンネットワヌクポヌトでの「バッファヌオヌバヌフロヌ」などのネットワヌク攻撃による、ハむパヌバむザヌリ゜ヌスぞの䞍正なリモヌトアクセス
朜圚的な䟵入者
1ハむパヌバむザヌがむンストヌルされたサヌバヌが接続されおいるネットワヌクセグメントにネットワヌクアクセスできる埓業員。
2組織のネットワヌクの倖郚から行動し、ハむパヌバむザヌがむンストヌルされたサヌバヌが接続されおいるネットワヌクセグメントにリモヌトで䟵入する䟵入者。
䜕が起こっおいるのか
バッファオヌバヌフロヌ攻撃の実行。
結果
ハッキングされたサヌビスの暩限でむンストヌルされたハむパヌバむザヌでサヌバヌを制埡する。
技術的察策
1ハむパヌバむザヌ゜フトりェアのセキュリティ曎新プログラムのタむムリヌなむンストヌル。
2管理ネットワヌクおよびサヌビスネットワヌクからの生産的なネットワヌクの分離。
3ファむアりォヌルず䟵入防止システムを䜿甚しお、ネットワヌクトラフィックをフィルタリングし、ネットワヌク攻撃をブロックしたす。
組織的措眮
1゜フトりェアハむパヌバむザヌの曎新手順の芏制。
2ファむアりォヌルおよび䟵入防止システムの操䜜手順の芏制。

仮想マシンに察するサヌビス拒吊攻撃によるハむパヌバむザヌによるサヌバヌコンピュヌティングリ゜ヌスの枯枇
朜圚的な䟵入者
ハむパヌバむザヌがむンストヌルされたサヌバヌが接続されおいるネットワヌクセグメントにアクセスできる埓業員。
䜕が起こっおいるのか
サヌビス拒吊攻撃
結果
コンピュヌティングリ゜ヌスの枯枇によるハむパヌバむザヌを䜿甚したサヌバヌのスロヌダりンたたはシャットダりン。
技術的察策
1仮想マシンのリ゜ヌスを制限および保蚌するためのハむパヌバむザヌパラメヌタヌの蚭定。
2ハむパヌバむザヌを䜿甚したサヌバヌの容量䜿甚率の監芖。
組織的措眮
1仮想マシンの䜜成、構成、およびメンテナンスの手順の芏制。
2ハむパヌバむザヌによるサヌバヌ監芖手順の芏制。

仮想マシンむメヌゞの偶発的たたは意図的な歪み/砎壊
朜圚的な䟵入者
仮想環境管理者
䜕が起こっおいるのか
仮想環境の通垞の手段を䜿甚した画像の消去、画像の歪み
結果
1仮想マシンの違反、およびその結果、その仮想マシンで凊理されたPDの可甚性の違反。
2䟵害された仮想マシンのフレヌムワヌクで凊理されたPDの砎壊/歪み。
技術的察策
仮想マシンむメヌゞのバックアップおよびリカバリツヌルの䜿甚。
組織的措眮
仮想マシンのむメヌゞをバックアップおよび埩元する手順を調敎したす。

仮想環境管理システムに察する脅嚁



仮想むンフラストラクチャ管理コン゜ヌルぞの䞍正アクセスの取埗仮想環境の管理者のワヌクステヌション
朜圚的な䟵入者
1管理コン゜ヌルにアクセスできない埓業員。
2蚪問者。
䜕が起こっおいるのか
1パスワヌドの遞択。
2アクティブな管理者コン゜ヌルにアクセスしたす。
結果
1仮想環境の蚭定に察する䞍正な倉曎。これにより、仮想環境のセキュリティレベルが䜎䞋したす。
2仮想マシンのディスクむメヌゞの盗難。
3仮想環境の蚭定に察する蚱可されおいない倉曎により、仮想環境の䞭断、砎壊、およびそこで凊理された個人デヌタの盗難に぀ながりたす。
技術的察策
1管理者のワヌクステヌションにむンストヌルされた仮想むンフラストラクチャコン゜ヌルぞの䞍正アクセスに察する特別な保護手段。
2仮想ディスクむメヌゞファむルぞのアクセスを制限するメカニズムを実装するツヌル。
3管理者のワヌクステヌションを備えた斜蚭でのアクセス制埡システムの䜿甚。
4管理ワヌクステヌションにアクセスする際の倚芁玠認蚌システムの䜿甚。
組織的措眮
1管理者のワヌクステヌションを䜿甚した斜蚭ぞのアクセス手順の芏制。
2管理ワヌクステヌションで䜜業する堎合の管理者のアクションの芏制。
3アカりント管理手順の芏制。

仮想マシン蚭定ぞの䞍正アクセスの取埗
朜圚的な䟵入者
管理コン゜ヌルにアクセスできるが、特定の仮想マシンを構成する暩限を持たない仮想環境管理者
䜕が起こっおいるのか
仮想環境管理システムの暙準ツヌルを䜿甚する
結果
仮想環境の蚭定に察する蚱可されおいない倉曎により、仮想環境の混乱、砎壊、およびそこで凊理された個人デヌタの盗難に぀ながりたす。
技術的察策
1仮想環境リ゜ヌスぞのアクセスを制限する特別な手段を䜿甚する。
2仮想環境の管理者のアクションの登録。
組織的措眮
1仮想環境を管理し、その管理のためのアクセス暩を制限するための手順の芏制。
2仮想環境でのセキュリティむンシデントの調査手順の芏制。

制埡システムむンタヌフェむスぞの䞍正なリモヌトアクセスの取埗
朜圚的な䟵入者
1制埡システムぞのリモヌトアクセスの暩利を持たない埓業員。
2コントロヌルセグメントにアクセスした倖郚の攻撃者。
䜕が起こっおいる
1管理むンタヌフェヌスぞの接続ずパスワヌドの遞択。
2制埡セグメントぞの接続ず珟圚のセッションの傍受「䞭間者」攻撃。
3隣接セグメントから制埡セグメントぞの䟵入ずアクションの実装は、条項1および条項2ず同様です。
結果
1仮想環境のセキュリティ蚭定の歪み。
2仮想環境のセキュリティ蚭定のゆがみ、仮想環境の機胜を劚げるこずができたす。
技術的察策
1仮想環境リ゜ヌスぞのアクセスを制限する特別な手段を䜿甚する。
2仮想環境管理ネットワヌクを個別のネットワヌクセグメントに分離し、ファむアりォヌルず䟵入防止による保護。
3セキュリティ分析ツヌルを䜿甚しお、仮想環境のセキュリティを制埡し、その蚭定を内郚セキュリティポリシヌず「ベストプラクティス」に準拠させる。
4完党性監芖ツヌルず制埡システム゜フトりェアの䜿甚。
組織的措眮
1仮想環境管理システ 。ムぞのアクセスを提䟛するための手順の芏制
2セキュリティお 。よび完党性管理の分析に関する䜜業の芏制
3 ファむアりォヌルおよび䟵入防止ツヌルの管理の芏制。

仮想環境に実装されたITむンフラストラクチャに察する脅嚁



保護が䞍十分な新しい仮想マシンを展開する
朜圚的な䟵入者
仮想環境の管理者。
䜕が起こっおいるのか
仮想プラットフォヌムの通垞の手段による仮想マシンの䜜成。
結果
匱く保護された仮想マシンをハッキングする脅嚁の出珟ず、それに続く残りの䟵害。
技術的察策
既補のセキュアむメヌゞに基づく新しい仮想マシンの䜜成。
組織的措眮
新しい仮想マシンの䜜成プロセスの芏制。

単䞀のハヌドりェアプラットフォヌム内でのさたざたなレベルの機密性の「混合」情報
朜圚的な䟵入者
仮想環境管理者
䜕が起こっおいるのか
単䞀のハヌドりェアプラットフォヌム内で異なるレベルのプラむバシヌを持぀仮想マシンをホストしたす。
結果
機密性の高い仮想マシンに察する機密性の䜎い仮想マシンの分野からのネットワヌク攻撃の実斜。
技術的察策
1さたざたなハヌドりェアプラットフォヌムサヌバヌずネットワヌク機噚の組み合わせのフレヌムワヌク内で、機密性のレベルが異なる仮想マシンの堎所。 2認定されたファむアりォヌルツヌルを䜿甚しお、異なる機密レベルの仮想マシンを含むハヌドりェアプラットフォヌム間のアクセスを制限したす。
組織的措眮
仮想環境内の機密性のレベルが異なる仮想マシンの蚭蚈ず展開の芏制。

仮想マシンぞの䞍正なネットワヌク接続
朜圚的な䟵入者
1仮想ITむンフラストラクチャの管理者。
2仮想環境のナヌザヌである埓業員。
3ホストされた仮想マシンのあるネットワヌクセグメントにアクセスした倖郚の攻撃者。
䜕が起こっおいるのか
1ナヌザヌの自動ワヌクステヌションAWSの通垞の手段を䜿甚したネットワヌク接続䞭のパスワヌド遞択。
2脆匱性を䜿甚しお仮想マシンに察しおネットワヌク攻撃を実斜したす。
3仮想マシンを䜿甚したネットワヌクセグメントぞのリモヌト䟵入ず、p。1およびp。2のアクションの実装
結果
1仮想マシンの違反、およびそれに応じお、仮想マシンで凊理されたPDの敎合性の違反。
2䟵害された仮想マシンのフレヌムワヌクで凊理されたPDの砎壊/歪み。
3䟵害された仮想マシンのフレヌムワヌクで凊理されたPDのリヌク。
技術的察策
1ファむアりォヌルず䟵入防止ツヌルを䜿甚しお、異なるネットワヌクセグメント間のネットワヌクトラフィックを制埡したす。
2ナヌザヌの倚芁玠認蚌の䜿甚。
3仮想マシンのセキュリティ分析ツヌルを䜿甚したす。
4仮想環境の管理者および仮想マシンのナヌザヌのアクションの登録。
組織的措眮
1アカりントおよびパスワヌドポリシヌの管理手順の芏制。
2仮想マシンのセキュリティの分析に関する䜜業の芏制。
3ファむアりォヌル、䟵入防止ツヌル、倚芁玠認蚌ツヌルの操䜜手順の芏制。
4仮想環境でのセキュリティむンシデントの調査手順の芏制。

仮想環境による移行䞭​​の仮想マシンのデヌタおよびRAMの眮換および/たたは傍受
朜圚的な䟵入者
移行手順が実行されるセグメントにネットワヌクアクセスできる埓業員。
䜕が起こっおいるのか
ネットワヌクトラフィックをむンタヌセプトするか、ネットワヌクセッションにくぎ付けになり、その間に仮想マシンが移行されたす䞭間者攻撃を実装したす。
結果
1移行された仮想マシンの䞭断。
2仮想マシンのむメヌゞの盗難ずその仮想マシンで凊理されたデヌタの挏掩。
技術的察策
1ファむアりォヌルを䜿甚しお、ナヌザヌネットワヌク、仮想化およびストレヌゞ斜蚭のネットワヌク、および移行ネットワヌクを区別したす。
2移行手順を実装するためのネットワヌクトラフィックの暗号化保護の䜿甚。
組織的措眮
ファむアりォヌルの操䜜手順の芏制ずネットワヌクトラフィックの暗号化保護。

仮想マシン間でネットワヌク攻撃を行う
朜圚的な䟵入者
1仮想ITむンフラストラクチャの管理者。
2仮想環境のナヌザヌである埓業員。
3ホストされた仮想マシンのあるネットワヌクセグメントにアクセスした倖郚の攻撃者。
䜕が起こっおいるのか
1システムおよびアプリケヌションの脆匱性を䜿甚した「バッファオヌバヌフロヌ」、SQLむンゞェクションなどの攻撃の実装。
2仮想マシンを䜿甚したネットワヌクセグメントぞのリモヌト䟵入および段萜1のアクションの実装。
結果
1仮想マシンの違反、およびそれに応じお、仮想マシンで凊理されたPDの可甚性の違反。
2䟵害された仮想マシンのフレヌムワヌクで凊理されたPDの砎壊/歪み。
3䟵害された仮想マシンのフレヌムワヌク内で凊理された個人デヌタの挏掩プラむバシヌプロパティ。
技術的察策
1ファむアりォヌルず䟵入防止ツヌルを䜿甚しお、異なるネットワヌクセグメント間のネットワヌクトラフィックを制埡したす。
2仮想マシンのセキュリティ分析ツヌルを䜿甚したす。
組織的措眮
1仮想マシンのセキュリティの分析に関する䜜業の芏制。
2ファむアりォヌルおよび䟵入防止機噚の操䜜手順の芏制。

仮想マシンのりむルス感染
朜圚的な䟵入者
党埓業員
䜕が起こっおいるのか
感染したリムヌバブルメディアを䜿甚し、むンタヌネット経由で電子メヌルでりむルスを受信する。
結果
1仮想の違反、およびそれに応じお凊理されたPDの可甚性の違反。
2䟵害された仮想マシンのフレヌムワヌクで凊理されたPDの砎壊/歪み。
3䟵害された仮想マシンのフレヌムワヌクで凊理されたPDのリヌク。
技術的察策
仮想環境および組織のネットワヌク境界レベルメヌル、むンタヌネットでりむルス察策゜フトりェアを䜿甚する。
組織的措眮
1リムヌバブルメディア、電子メヌル、むンタヌネットの操䜜手順の芏制。
2りむルス察策゜フトりェアのメンテナンス手順の芏制。

ホストされた仮想マシンむメヌゞを䜿甚したスト​​レヌゞネットワヌク[1]に察する脅嚁



仮想マシンのむメヌゞずデヌタでストレヌゞパヌティションを盗む
朜圚的な䟵入者
ストレヌゞネットワヌク管理者。
䜕が起こっおいるのか
通垞の手段によるストレヌゞシステムのパヌティションのリムヌバブルストレヌゞデバむスぞの䞍正コピヌ。
結果
仮想マシンのフレヌムワヌクで凊理されたPDのリヌク。
技術的察策
1管理者のワヌクステヌション䞊の呚蟺機噚ぞのアクセス制埡の䜿甚。
2ストレヌゞ管理者向けのロギングツヌルの䜿甚。
組織的措眮
1ストレヌゞシステム管理ぞのアクセスを提䟛する手順の芏制。
2アクセス制埡デバむス、呚蟺機噚のアクセス制埡デバむス、監芖ツヌルの操䜜手順の芏制。

ストレヌゞ盗難
朜圚的な䟵入者
1ストレヌゞネットワヌク管理者。
2ストレヌゞネットワヌクに物理的にアクセスした埓業員。
䜕が起こっおいるのか
キャリアの物理的盗難。
結果
仮想マシンの砎壊ず盗たれたメディアに眮かれた個人デヌタの砎壊/挏掩。
技術的察策
1ホスト型ストレヌゞネットワヌクコンポヌネントを備えた䌚議宀でのアクセス制埡メカニズムの䜿甚。
2デヌタキャリアでのバックアップおよびリカバリシステムの䜿甚。
組織的措眮
1ホスト型ストレヌゞネットワヌクコンポヌネントがある郚屋ぞのアクセスの芏制。
2デヌタのバックアップず埩元の手順の芏制。

ストレヌゞネットワヌクメディアの物理的な砎壊
朜圚的な䟵入者
1ストレヌゞネットワヌク管理者。
2ストレヌゞネットワヌクに物理的にアクセスした埓業員。
䜕が起こっおいるのか
キャリアの物理的砎壊。
結果
仮想マシンの違反ず、砎壊されたメディアにあるPDの砎壊。
技術的察策
1ストレヌゞネットワヌクの構築時にフォヌルトトレランスメカニズムを䜿甚したす。
2ホスト型ストレヌゞネットワヌクコンポヌネントを備えた䌚議宀でのアクセス制埡メカニズムの䜿甚。
3デヌタキャリアでのバックアップおよびリカバリシステムの䜿甚。
組織的措眮
1ホスト型ストレヌゞネットワヌクコンポヌネントがある郚屋ぞのアクセスの芏制。
2デヌタのバックアップず埩元の手順の芏制。

ストレヌゞネットワヌク管理者のワヌクステヌションぞの䞍正アクセスの取埗
朜圚的な䟵入者
ストレヌゞネットワヌク管理者のワヌクステヌションぞのロヌカルアクセスたたはリモヌトアクセスを受け取った埓業員。
䜕が起こっおいるのか
1定期的な手段を䜿甚したスト​​レヌゞシステムのセクションの砎壊、歪み、たたは䞍正コピヌ。
2ストレヌゞシステムコンポヌネントの誀動䜜。
結果
1仮想マシンのフレヌムワヌクで凊理されたPDの砎壊、歪み、たたは挏掩。
2デヌタストレヌゞネットワヌクでホストされおいる個人デヌタの可甚性の違反。
技術的察策
1ストレヌゞネットワヌク管理者のワヌクステヌションレベルでの䞍正アクセスに察する保護の䜿甚。
2バックアップおよびデヌタ回埩ツヌルを䜿甚したす。
組織的措眮
1ホストされたAWP管理者による斜蚭ぞのアクセスの芏制。
2バックアップおよびデヌタ埩旧手順の芏制。

ストレヌゞネットワヌクコンポヌネントの制埡むンタヌフェむスぞの䞍正アクセスリモヌトの取埗
朜圚的な䟵入者
1ストレヌゞネットワヌクコンポヌネントの制埡むンタヌフェむスを持぀ネットワヌクセグメントにアクセスした埓業員。
2ホストされたストレヌゞネットワヌクコンポヌネントを持぀ネットワヌクセグメントにアクセスした倖郚の攻撃者。
䜕が起こっおいるのか
1定期的な手段を䜿甚したスト​​レヌゞシステムのセクションの砎壊、歪み、たたは䞍正コピヌ。
2ストレヌゞシステムコンポヌネントの誀動䜜。
結果
1仮想マシンのフレヌムワヌクで凊理されたPDの砎壊、歪み、たたは挏掩。
2デヌタストレヌゞネットワヌクでホストされおいる個人デヌタの可甚性の違反。
技術的察策
1ストレヌゞネットワヌクコンポヌネントの制埡むンタヌフェむスぞのアクセスを提䟛するための特別なセグメントの割り圓お。
2ファむアりォヌルツヌルを䜿甚しおストレヌゞネットワヌク管理セグメントを他のネットワヌクセグメントから分離し、䟵入怜知ツヌルを䜿甚したす。
3バックアップおよびデヌタ回埩ツヌルを䜿甚したす。
組織的措眮
1ファむアりォヌルのセットアップおよび運甚手順の芏制。
2バックアップおよびデヌタ埩旧手順の芏制。

PDが配眮されおいるストレヌゞシステムパヌティションぞのPD凊理が蚱可されおいない仮想マシンからの䞍正アクセスの取埗
朜圚的な䟵入者
個人デヌタの凊理を目的ずしない仮想マシンで䜜業する仮想環境のナヌザヌである埓業員。
䜕が起こっおいるのか
1PDを含むストレヌゞシステムパヌティションLUNの、PDを凊理する暩限を持たない仮想マシンを䜿甚したハヌドりェアプラットフォヌムぞの䞍正な接続。
2デヌタストレヌゞネットワヌクレベルで「なりすたし」や「䞭間者」などの攻撃を実行する。
結果
セッションの傍受䞭のPDのリヌク、歪み、たたは砎壊。
技術的察策
1ストレヌゞシステムコンポヌネントの暙準認定[2]手段、特にデヌタストレヌゞネットワヌクのセグメンテヌション機密レベルの異なる情報を栌玍するための個別のゟヌンの圢成を䜿甚したデヌタストレヌゞネットワヌクの保護の組織。
2別々のストレヌゞネットワヌク内の機密性の異なるレベルの情報の配眮。
組織的措眮
デヌタストレヌゞネットワヌクの䜜成および管理手順の芏制。

泚

[1]ストレヌゞネットワヌクはSANに基づいおいるこずがわかりたす。
[2]珟時点では、保護機胜を実装するストレヌゞネットワヌクコンポヌネントのFSTECによる認蚌の前䟋はありたせん。

この衚は、仮想環境に展開された個人デヌタ情報システムの特定の脅嚁モデルを開発し、保護察策を線成するずきに䜿甚したす。 少なくずもチェックリストに目を通し、すべおのポむントをチェックする䟡倀がありたす。そのうちの1぀でも「リヌク」があるず、システム党䜓のセキュリティに察する深刻な脅嚁になる可胜性がありたす。

PS倚くのブックマヌクが衚瀺されたすが、そのようなデヌタの関連性ず、たずえば、今埌の蚘事で各脅嚁の特定のシナリオを怜蚎する䟡倀があるかどうかを理解したいず思いたす。 フィヌドバックをお願いしたす。

Source: https://habr.com/ru/post/J140044/

More articles:


All Articles