Рекомендации по обеспечению безопасности при разработке приложений Windows Azure

Save this PDF as:
 WORD  PNG  TXT  JPG

Размер: px
Начинать показ со страницы:

Download "Рекомендации по обеспечению безопасности при разработке приложений Windows Azure"

Транскрипт

1 Рекомендации по обеспечению безопасности при разработке приложений Windows Azure Авторы Эндрю Маршал (Andrew Marshall), старший менеджер программы безопасности, инженер по безопасности Майкл Говард (Michael Howard), руководитель программы безопасности, инженер по безопасности Грант Багер (Grant Bugher), ведущий менеджер программы безопасности, OSSC Брайан Харден (Brian Harden), архитектор систем безопасности, OSSC Соавторы Чарли Кауфман (Charlie Kaufman), главный архитектор Мартин Рус (Martin Rues), директор, OSSC Витторио Бертоцци (Vittorio Bertocci), старший технический евангелист, разработчик и евангелист платформы Июнь 2010 Г. (РЕД. 2)

2 Вся информация в данном документе отражает точку зрения корпорации Microsoft на освещаемые в документе вопросы на дату публикации документа. Поскольку корпорация Microsoft должна реагировать на изменяющиеся условия рынка, ничто в этом документе не может расцениваться как обязательства Microsoft. Это означает, что корпорация Microsoft не может гарантировать точность какой-либо информации, представленной в данном документе, после даты публикации. Настоящий технический документ носит исключительно информационный характер. КОРПОРАЦИЯ MICROSOFT НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДУСМОТРЕННЫХ ЗАКОНОМ, ОТНОСИТЕЛЬНО СВЕДЕНИЙ, СОДЕРЖАЩИХСЯ В ДАННОМ ДОКУМЕНТЕ. Соблюдение всех применимых законов об авторских правах является обязанностью пользователя. Без ограничения вышеуказанных авторских прав данный документ не подлежит частичному воспроизведению, хранению либо вводу в какую-либо систему автоматического поиска, а также передаче в каком-либо виде, каким-либо способом (электронным, механическим способом, фотокопированию, записи или иным действиям) и в каких-либо целях без предварительного письменного согласия корпорации Microsoft. Владельцем патентов, патентных заявок, торговых марок, авторских прав либо других прав интеллектуальной собственности, относящихся к предмету данного документа, является корпорация Microsoft. За исключением прямых положений каких-либо письменных лицензий, выданных корпорацией Microsoft, предоставление данного документа не означает предоставления каких-либо лицензий на вышеуказанные патенты, торговые марки, авторские права или другую интеллектуальную собственность. Корпорация Microsoft, 2010 г. Все права сохранены. Microsoft, Active Directory, Hyper-V, SQL Azure, Visual Basic, Visual C++, Visual C#, Visual Studio, Windows, Windows Azure, Windows Live и Windows Server являются зарегистрированными торговыми марками или торговыми марками корпорации Microsoft на территории США и/или других стран. Названия существующих компаний и продуктов, упомянутые в настоящем документе, могут быть зарегистрированными торговыми марками.

3 Содержание СОДЕРЖАНИЕ... 3 РЕЗЮМЕ... 5 ЦЕЛЕВАЯ АУДИТОРИЯ... 5 ОБЗОР СЛУЖБ БЕЗОПАСНОСТИ ПЛАТФОРМЫ WINDOWS AZURE... 6 УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И КОНТРОЛЬ ДОСТУПА... 6 ПЛАТФОРМА WINDOWS IDENTITY FOUNDATION... 7 ACTIVE DIRECTORY FEDERATION SERVICES СЛУЖБА УПРАВЛЕНИЯ ДОСТУПОМ APPFABRIC ПЛАТФОРМЫ WINDOWS AZURE... 8 ПРОЕКТИРОВАНИЕ БЕЗОПАСНЫХ СЛУЖБ WINDOWS AZURE... 8 РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ УРОВНЯ СЛУЖБ WINDOWS AZURE... 9 Проблемы настройки пространства имен Безопасность данных Работа с секретной информацией Аудит и журналирование Регулирование скорости отправки запросов и применение ограничений на данные полей СРЕДСТВА БЕЗОПАСНОСТИ WINDOWS AZURE ДЛЯ УРОВНЕЙ ПЛАТФОРМЫ И ИНФРАСТРУКТУРЫ Сканирование портов и перечисление служб «Отказ в обслуживании» Спуфинг Прослушивание канала и перехват пакетов Поддержка нескольких арендаторов и атаки по сторонним каналам Внешняя проверка Безопасность среды выполнения: разделение ролей и прав процессов в системе полного доверия и сравнение с системой частичного доверия в среде Windows Azure ПОДВОДЯ ИТОГИ: РАЗРАБОТКА БОЛЕЕ БЕЗОПАСНЫХ ПРИЛОЖЕНИЙ WINDOWS AZURE ИЗОЛЯЦИЯ ВЕБ-РОЛЕЙ И РАЗДЕЛЕНИЕ ОБЯЗАННОСТЕЙ ОТДЕЛЬНЫХ РОЛЕЙ ДЛЯ МАКСИМАЛЬНОГО ИСПОЛЬЗОВАНИЯ МОДЕЛИ ЧАСТИЧНОГО ДОВЕРИЯ WINDOWS AZURE ИСПОЛЬЗОВАНИЕ ШАБЛОНА ПРОЕКТИРОВАНИЯ GATEKEEPER ДЛЯ РАЗДЕЛЕНИЯ ОБЯЗАННОСТЕЙ РОЛЕЙ И ИЗОЛЯЦИИ ОБЪЕКТОВ С ПРИВИЛЕГИРОВАННЫМ ДОСТУПОМ ЕСЛИ НЕВОЗМОЖНО ПРИМЕНИТЬ РОЛЬ GATEKEEPER, ИСПОЛЬЗУЙТЕ НЕСКОЛЬКО КЛЮЧЕЙ ХРАНИЛИЩА ДЛЯ ОГРАНИЧЕНИЯ ДОСТУПА К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРИМЕНЕНИЕ МЕТОДОВ SDL ПРИ РАЗРАБОТКЕ ПРИЛОЖЕНИЙ ДЛЯ WINDOWS AZURE ОБУЧЕНИЕ И ОБМЕН ИНФОРМАЦИЕЙ ПО ВОПРОСАМ БЕЗОПАСНОСТИ МЕТОДЫ РАЗРАБОТКИ БЕЗОПАСНЫХ ПРИЛОЖЕНИЙ ДЛЯ ПЛАТФОРМЫ WINDOWS AZURE ПРОВЕРКА И ВЫПУСК ЗАКЛЮЧЕНИЕ... 21

4 ДОПОЛНИТЕЛЬНЫЕ РЕСУРСЫ ПРИЛОЖЕНИЕ А. ГЛОССАРИЙ ПРИЛОЖЕНИЕ Б. МАТРИЦА УГРОЗ БЕЗОПАСНОСТИ ПРИ РАЗВЕРТЫВАНИИ ПРИЛОЖЕНИЙ НА ПЛАТФОРМЕ WINDOWS AZURE ПРИЛОЖЕНИЕ В. ВЫДЕРЖКА ИЗ СПРАВОЧНИКА ПО ПОЛИТИКЕ ЧАСТИЧНОГО ДОВЕРИЯ WINDOWS AZURE 29 ПРИЛОЖЕНИЕ Г. ИСПОЛЬЗОВАНИЕ КРИПТОГРАФИЧЕСКИХ МЕТОДОВ SDL В ПРИЛОЖЕНИЯХ WINDOWS AZURE... 31

5 Резюме Стремление компаний использовать эффективные ИТ-сервисы повышает интерес к переносу вычислительных мощностей с локального оборудования в интернет-системы, часто называемые облаками. Технологию облачных вычислений могут использовать не только крупные предприятия; компании малого бизнеса также способны извлечь большую выгоду из переноса вычислительных ресурсов и систем хранения данных в облачные среды, такие как Windows Azure. В действительности компании небольшого размера внедряют эту новую парадигму быстрее крупных компаний 1. Идея приобретения услуг у поставщика услуг доступа к облачной среде кажется весьма привлекательным деловым предложением она открывает для предприятий возможности экономии денежных средств и позволяет им сосредоточиться на своем основном бизнесе. Многие аналитики рассматривают новые возможности ценообразования и оказания услуг через Интернет как разрушительный фактор для текущего состояния рынка. Исследования рынка и последовавший за ними диалог между потенциальными клиентами и поставщиками услуг позволили выявить часто встречающиеся темы обсуждений и потенциальные преграды для быстрого внедрения облачных служб. Например, руководители предприятий хотят знать, как в облачной среде Microsoft Cloud Computing решаются ключевые вопросы безопасности, конфиденциальности и надежности; они также озабочены влиянием внедрения облачных служб на их решения, связанные с оценкой рисков и операционной деятельностью. В этом документе рассматриваются трудные задачи обеспечения безопасности и приводятся рекомендуемые подходы к проектированию и разработке безопасных предложений для платформы Windows Azure от Microsoft. Центр инженеров по безопасности Microsoft Security Engineering Center (MSEC) и группа специалистов Online Services Security & Compliance (OSSC) корпорации Microsoft совместно с группой разработчиков Windows Azure реализовали в этой среде все принципы и процедуры обеспечения безопасности, разработанные корпорацией Microsoft в течение многих лет управления рисками безопасности в традиционных средах разработки и операционной деятельности. Целевая аудитория Этот документ составлен для предоставления информации техническим специалистам: проектировщикам программного обеспечения, архитекторам, разработчикам и тестировщикам, которые занимаются проектированием, разработкой и развертыванием безопасных решений на базе Windows Azure. Документ поделен на два раздела 2 : 1 Cloud Computing: Small Companies Take Flight («Облачные вычисления: шаг вперед для малого бизнеса»), журнал BusinessWeek, 2 Необходимо отметить, что термины «функции безопасности» и «безопасные функции» различны по смыслу. «Функции безопасности» это технологии, такие как проверка подлинности или шифрование, обеспечивающие защиту системы и хранимых в ней данных. «Безопасные функции» это устойчивые к атакам технологии, такие как хранилище ключей шифрования, функции управления или программный код, не содержащие известных уязвимостей.

6 Обзор служб безопасности, реализованных на платформе Windows Azure, а также Рекомендации по проектированию, разработке и развертыванию безопасных приложений: Аспекты безопасности проектирования уровня служб и безопасности приложения. Функции защиты, реализованные в платформе Azure и базовой сетевой инфраструктуре. Шаблоны проектирования служб, устойчивых к атакам или выполняемых с пониженными привилегиями. Обзор служб безопасности платформы Windows Azure В следующих разделах описаны некоторые из служб и функций безопасности данной платформы, доступные разработчикам для создания приложений на базе Windows Azure. Управление идентификацией и контроль доступа Управление идентификацией становится все более сложной задачей для разработчиков, приоритетность которой не снижается даже при изменении структуры вычислительных сетей компаний. Основной задачей управления идентификацией является не только предотвращение доступа неавторизованных третьих лиц к данным, но и управление авторизованным использованием данных. Управление идентификацией позволяет системе контролировать объем и тип данных, доступных для пользователей, а также гарантировать, что пользователи выполняют необходимые функции с наиболее низким из возможных уровнем привилегий. Задача управления идентификацией также критически важна для поддержания разделения ролей и обязанностей, что в некоторых случаях может потребоваться для обеспечения нормативно-правового соответствия. Современные разработчики сталкиваются с одной и той же задачей: предоставление авторизованным пользователям, клиентам и системам доступа к необходимым данным в любое время и из любой точки, с помощью любой технологии и при полном соблюдении основных требований безопасности, связанных с обеспечением конфиденциальности, доступности и целостности. С первого взгляда может показаться, что технология облачных вычислений не подходит или весьма неудобна для обеспечения соответствия столь жестким стандартам: разработчики стремятся ограничить доступ к данным, существующим в сравнительно неконтролируемой среде (облаке), причем эти данные могут быть смешаны с ресурсами, владельцами которых являются другие пользователи. Несмотря на то что подобная озабоченность имеет под собой рациональные основания, ее можно с легкостью развеять с помощью применения идентификации на основе утверждений. Идентификация на основе утверждений представляет собой один из подходов к проверке подлинности и управлению доступом, основанный на открытых протоколах и позволяющий создать стратегию управления доступом, единообразно применяемую во всем спектре продуктов и услуг Microsoft. Одной из основных особенностей идентификации на основе утверждений является снижение зависимости от инфраструктуры, поскольку приложения с поддержкой этой функции можно размещать как локально, так и в облаке, без внесения в них каких-либо изменений. Приложения, предназначенные для работы в среде Windows Azure, могут использовать те же средства разработки, возможности идентификации на основе утверждений и службы, что и локально размещаемые приложения. Ниже приведен список наиболее удобных технологий и служб идентификации, обеспечивающих защиту приложений и ресурсов в среде Windows Azure.

7 Платформа Windows Identity Foundation Active Directory Federation Services 2.0 Служба Windows Azure Access Control Платформа Windows Identity Foundation Платформа Windows Identity Foundation (WIF) представляет собой новейшую фундаментальную технологию, реализованную в среде.net Framework. Она позволяет разработчикам приложений в среде.net убирать логику идентификации из приложения, что обеспечивает реализацию стройной модели разработки, основанной на разделении областей контроля. Неспециалисты получают возможность легко и просто защищать свои приложения, не вдаваясь в тонкости сложных криптографических систем и протоколов, пользоваться функциями интеграции Visual Studio, такими как мастера настройки с графическим интерфейсом, что позволяет создавать приложения на основе открытых и совместимых стандартов (например, WS-Federation и WS-Trust). Несмотря на простоту использования этой модели программирования, которая объединяет в себе вебприложения ASP.NET и службы WCF SOAP (Windows Communication Foundation) в рамках одной объектной модели, платформа Windows Identity Foundation оснащена полным спектром функций безопасности, предлагаемых WS-Security, поддерживает формат маркеров SAML и множество других отраслевых стандартов корпоративного класса. При использовании платформы Windows Identity Foundation механизмы аутентификации предоставляются внешними службами с использованием платформо-независимых протоколов. Приложение получает информацию об аутентифицированных пользователях в виде утверждений, которые могут использоваться для реализации любых способов доступа от простого и традиционного управления доступом на основе ролей (RBAC) до сложных политик управления доступом. Использование открытых стандартов позволяет выполнять проверку подлинности независимо от места размещения учетных записей пользователя или самого приложения: в результате обеспечивается простая реализация единого входа (SSO) для приложений в среде Windows Azure и локальных приложений. Несмотря на то что службы аутентификации могут предоставляться на базе любой платформы, соответствующей открытым стандартам Windows Identity Foundation, лучшим способом использования существующих инвестиций в инфраструктуру Windows является применение служб Active Directory Federation Services 2.0 для решения всех задач, связанных с проверкой подлинности. Active Directory Federation Services 2.0 Несмотря на то что технология Active Directory Federation Services 2.0 (AD FS 2.0) поддерживает локальное развертывание, она способна играть ключевую роль в поддержке проверки подлинности для приложений Windows Azure. AD FS 2.0 представляет собой роль Windows Server, которая расширяет функциональные возможности Active Directory (AD) за счет поддержки идентификации на основе утверждений. AD FS 2.0 позволяет AD поддерживать службу Security Token Service (STS), представляющую собой единый интерфейс проверки подлинности, с помощью которого пользователи могут выполнять вход в приложения независимо от их размещения в центре обработке данных, на площадке партнера или в облаке. Это позволяет пользователям не зависеть от ограничений, связанных с возможностями их локальных сетей: если приложение, размещенное в Windows Azure, разработано с использованием платформы Windows Identity

8 Foundation (или эквивалентного стека, поддерживающего те же самые открытые стандарты), то служба AD FS 2.0 позволяет оперативно предоставить любому пользователю с учетной записью в локальном каталоге доступ к этому приложению. Эта процедура не требует никакой синхронизации, создания новой учетной записи или дублирования имеющейся. Служба AD FS 2.0 обеспечивает создание и поддержку отношений доверия с федеративными партнерами, упрощая доступ к ресурсам и распределенный единый вход. В службе AD FS 2.0 реализованы такие стандарты, как WS-Trust, WS-Federation и протокол SAML, она успешно прошла недавние публичные тесты на совместимость под названием Liberty Alliance SAML 2.0, которые подтвердили совместимость этой службы в стандартной конфигурации с продуктами IBM, Novell, Ping Identity, SAP, Siemens и многих других компаний. Служба управления доступом AppFabric платформы Windows Azure Служба AppFabric Access Control (AC) платформы Windows Azure представляет собой базовую службу, обеспечивающую для веб-служб REST Web поддержку централизованной проверки подлинности и авторизации на основе утверждений и правил. Веб-службы REST Web могут использовать AC для реализации упрощенных сценариев проверки имени пользователя и пароля, в дополнение к сценариям корпоративной интеграции, которые предусматривают использование Active Directory Federation Services 2.0. Приложения, использующие доступ к веб-службам REST, могут пользоваться возможностями AC независимо от места своего размещения (локально, на платформе Windows Azure или на любом компьютере с подключением к Интернету). Служба AC дает возможность клиентам обеспечить полноценный перенос политик авторизации за пределы приложения, что позволяет убрать из приложений большую часть логики авторизации путем ее переноса в службы AC, где она принимает вид правил преобразования утверждений. Службы AC используют протокол OAuth Web Resource Authorization Protocol (OAuth WRAP), который отличается низкими требованиями к системным ресурсам и позволяет реализовать идентификацию на основе утверждений с помощью API веб-служб REST, не предъявляя высоких требований к производительности компьютеров клиентов и поставщиков услуг. Это обеспечивает беспрецедентную распространенность протокола, который используется в самых разных типах устройств и стеках обмена данными, где требуется реализация безопасных транзакций. Протокол OAuth WRAP служит фундаментом готовящейся к выпуску спецификации протокола Oauth 2.0, который в свою очередь послужит фундаментом для объединения конкурирующих подходов, продвигаемых основными игроками этого рынка. Службы AC также способны играть роль моста между корпоративными системами идентификации и вебслужбами REST, благодаря встроенной поддержке маркеров SAML, создаваемых экземпляром AD FS 2.0 для доступа к веб-службам REST по протоколу OAuth WRAP. В перспективных выпусках AC будет реализована поддержка протоколов, неотъемлемой частью которых являются WIF и ADFS 2.0, что обеспечит простоту интеграции решений на основе этих технологий. Проектирование безопасных служб Windows Azure При разработке облачных решений проектировщикам ПО и разработчикам намного важнее предусмотреть возможные угрозы еще на этапе проектирования, чем при разработке традиционного

9 коробочного ПО, предназначенного для развертывания на серверах в корпоративном центре обработки данных. В этом разделе описываются некоторые из угроз, которые обязаны устранять разработчики при проектировании ПО для облачной среды, а также описываются встроенные средства Windows Azure для защиты от большого числа угроз, связанных с атаками на уровни службы, платформы и инфраструктуры. Рекомендации по обеспечению безопасности уровня служб Windows Azure Ландшафт угроз, ориентированных на облачные веб-службы, заметно отличается от аналогичных угроз традиционным веб-службам в части инструментов и технологий устранения подобных угроз. Угрозы также значительно варьируются в зависимости от поставщика услуг доступа к облачной среде. В Приложении Б приведена матрица угроз безопасности для Windows Azure. Эту матрицу можно использовать для выявления угроз безопасности, имеющих наибольшую важность для приложения. Необходимо выделить следующие основные аспекты: Разработчики обязаны сопоставить традиционные требования к безопасности локальных корпоративных приложений, которые относятся к их приложению, с возможностями служб Windows Azure, предоставляющих аналогичные функции обеспечения безопасности. Любые возможные угрозы должны снижаться самим приложением или соответствующей службой. Обратитесь к приложению Б для получения подробной информации о способах снижения угроз. Понимание требований безопасности, предъявляемых к разрабатываемой или переносимой службе, особенно в контексте решения задач проверки подлинности, авторизации и аудита. Службы платформы, обеспечивающие предоставление этих служб (Windows Identity Foundation, Windows Azure AppFabric Access Control Service, Windows Azure Monitoring и API диагностики), и методы, используемые разработчиками для их вызова, значительно различаются от тех, которые содержатся в локально развертываемых корпоративных системах (Kerberos, Active Directory, журналы событий Windows). Для создания более безопасных приложений необходимо использовать службы платформы Windows Azure. Несмотря на то что перенос приложения в облако обеспечивает повышенный уровень защиты, разработчики все равно обязаны писать хороший программный код и обеспечивать безопасность своих приложений в тех ситуациях, когда угрозы связаны с программным кодом самой веб-службы. Составление, применение и проверка ограничений на данные полей для ввода по-прежнему остаются важнейшими способами защиты веб-приложения, независимо от того, размещено ли это приложение в облаке. Платформа Windows Azure поддерживает роли веб-приложения в Internet Information Services 7 Hosted Web Core. Поскольку среда IIS7 поддерживает высокий уровень безопасности даже в конфигурации по умолчанию, разработчики могут использовать базовые средства защиты в среде IIS7, например, параметр конфигурации ValidateRequest. Разработчики обязаны снижать уровень опасности атак, использующих межсайтовые сценарии, применяя шифрование и проверку входных данных своих служб с помощью библиотеки Microsoft Anti- Cross-Site-Scripting или схожих библиотек, особенно если результат ввода данных отображается пользователю на веб-страницы. Уровень опасности атак, в которых применяется подделка межсайтовых запросов (CSRF), также необходимо снижать путем создания скрытого маркера сеанса в клиентских запросах и присвоения параметру Page.ViewStateUserKey идентификатора текущего сеанса.

10 Проблемы настройки пространства имен Ниже приведены некоторые проблемы настройки облачной среды, о которых вам необходимо знать. Избегайте использования доменного имени вида *имя_службы*.cloudapp.net, вместо него применяйте пользовательское имя домена. Между корпоративной средой и облаком существует важное различие пространство имен в cloudapp.net является общим для всех клиентов, использующих платформу Azure, в то время как владельцем и распорядителем пространства имен Microsoft.com является только корпорация Microsoft. Это означает, что пространство имен cloudapp.net по умолчанию имеет более низкий уровень доверия, чем пространство имен домена отдельно взятого предприятия, поскольку каждый из клиентов Windows Azure не распространяет свое доверие на остальных клиентов в пространстве имен этого домена. Не создавайте программный код, для использования которого пользователям понадобится вносить домен cloudapp.net в список доверенных сайтов веб-браузера. Не создавайте файлы cookie или записи вида document.domain, область действия которых охватывает весь домен cloudapp.net. Вместо этого ограничьте их область действия служебным поддоменом (например, contoso.cloudapp.net или, что еще лучше, Для большей части содержимого взаимодействие с другим содержимым разрешено только в рамках одного и того же домена. Например, стандартная страница на веб-сайте может беспрепятственно использовать в своих сценариях любое содержимое других страниц веб-сайта но не сможет делать это в отношении веб-страниц, относящихся к другим доменам. Для принудительной реализации этого ограничения в объектной модели DHTML Object Model используется свойство document.domain. Свободное взаимодействие допускается только между страницами, доменные свойства которых идентичны. Указанные в URL-адресе протоколы доступа также должны совпадать. Например, веб-страница с доступом по протоколу HTTP не может получать доступ к содержимому, которое размещено на веб-страницах с доступом по протоколу HTTPS. Важно. Любая попытка включить другие домены в свойство document.domain может привести к тому, что служба окажется открытой для атак с использованием сценариев со стороны любого веб-сайта, входящего в пространство имен cloudapp.net. В среде IIS7 свойство document.domain по умолчанию настроено для включения всех поддоменов (например, contoso.cloudapp.net или но разработчики веб-приложений настолько часто изменяют область действия этого свойства, что оно заслуживает отдельного упоминания. Безопасность данных При проектировании способов взаимодействия веб-роли с хранилищем данных Windows Azure можно использовать развитые возможности сигнатур совместного доступа. Сигнатуры совместного доступа представляют собой маркеры доступа, служащие для предоставления прав доступа к тем BLOB-данным или контейнерам с BLOB-данными, которые не являются общедоступными. Поскольку веб-приложения обязаны генерировать эти маркеры самостоятельно, на них также возлагается задача безопасного распространения маркеров. В случае компрометации одного из маркеров разработчики могут либо обновить метаданные, связанные с BLOB-данными или контейнером данных, чтобы сделать маркер недействительным, либо создать новый контейнер для BLOB-данных. Однако подобные действия могут служить только мерой реагирования, которую предпринимают уже после того, как возможный вред нанесен. Ниже приведены руководящие указания по минимизации риска при использовании сигнатур совместного доступа. Предоставляя доступ доверенной стороне, создавайте сигнатуры совместного доступа с использованием наиболее строгих списков ACL из всех возможных.

11 Устанавливайте для этих записей самое короткое время жизни. Используйте протокол HTTPS в URL-адресе запроса, чтобы защитить маркер от перехвата при передаче через сеть. Помните, что эти маркеры можно использовать только для предоставления временного доступа к хранилищу BLOB-данных, которое не является общедоступным. Как и пароли, не следует использовать одни и те же маркеры несколько раз подряд. Хранилище таблиц Windows Azure представляет собой простую среду структурированного хранения данных, для создания которой не применялся SQL, поэтому использующие ее приложения защищены от стандартных уязвимостей, связанных с SQL-инъекциями. Однако приложения, использующие SQL Azure или другие службы реляционных СУБД, все равно должны содержать средства снижения рисков, связанных с SQL-инъекциями. Запросы к хранилищу таблиц выполняются либо напрямую, с помощью методов GET или POST протокола HTTP, либо же преобразуются в подобные запросы с помощью SDK и LINQ. Поскольку HTTPзапрос представляет собой текст, если эта строка запроса составляется на основе данных пользователей, то строки пользователей способны изменять семантику запроса (например, путем вставки символов перевода строки или &). Чтобы избежать атак на основе инъекций, не применяйте данные пользователей в именах контейнеров, BLOB-объектов, в именах блоков и в идентификаторах блоков, а также в именах таблиц. При создании REST-запроса, в который должны войти пользовательские данные, обеспечьте их безопасность путем шифрования URL-адреса перед его объединением с запросом. Работа с секретной информацией В настоящее время хранилище Windows Azure Storage не поддерживает средства сохраняемости, схожие с теми, что реализованы в API защиты данных (DPAPI). Если службе необходимо шифровать секретные данные, хранящиеся в Windows Azure Storage, то следует выполнять эту операцию вне площадки хранения и перед загрузкой зашифрованных данных в хранилище BLOB-объектов. Эта процедура упрощается при использовании ключа AES, сгенерированного на клиентском компьютере или в любой другой вычислительной системе предприятия. Разработчики также не должны передавать этот ключ или любые материалы, связанные с его созданием, в среду Windows Azure Storage, независимо от того, насколько тщательные меры приняты для скрытия подобных материалов от посторонних. В случае компрометации любого компьютера или хранилища данных это может привести к раскрытию ключей сторонним лицам. Microsoft рекомендует использовать 256-битные ключи AES для поддержки симметричного шифрования. Разработчики также не должны хранить в Windows Azure Storage частные ключи, связанные с сертификатами SSL или TLS. Вместо этого их необходимо загружать посредством портала для разработчиков и использовать с помощью ссылок на маркеры сертификатов, которые доступны в средстве настройки служб. Windows Azure не только всегда хранит эти сертификаты в зашифрованном состоянии, но также обеспечивает их безопасную передачу в хранилища сертификатов соответствующей веб-роли службы после загрузки. Разработчикам не следует пытаться перемещать сертификаты для хранения в какие-либо другие местоположения, поскольку подобные действия равнозначны попытке заново изобрести технологию защиты, которая уже поддерживается платформой. Образец программного кода, демонстрирующего процедуру установки сертификатов в Windows Azure, доступен по адресу

12 Приложение Г содержит рекомендации по использованию криптографических средств. Аудит и журналирование Доступ локальной виртуальной машины к диску с помощью ролей Windows Azure является временной мерой, недостаточно надежной для решения каких-либо иных задач, кроме хранения временных файлов и кэширования. В среде Windows Azure события не записываются в соответствующие журналы приложений, безопасности и аудита, как в случае использования серверов Windows. Вместо этого агент отслеживания и диагностики размещает в хранилище Windows Azure данные журналов, получаемые от прослушивателей трассировок в коде веб-приложений. Затем агент отслеживания перемещает эти журналы на долговременное хранение в Windows Azure Storage, опираясь на расписания передачи данных. Табличное хранилище Windows Azure Table Storage используется для журналирования некоторых типов событий, включая журналы событий и диагностики Windows, журналы Windows Azure Logs и счетчики производительности. В настоящее время Windows Azure не поддерживает функцию шифрования статических данных, поэтому разработчики не должны записывать конфиденциальную информацию в события, хранимые в Windows Azure Table Storage. Обратитесь к разделу «Работа с секретной информацией» на стр. 8 для получения дополнительной информации о шифровании конфиденциальных данных. Разработчики должны выбрать используемый протокол (HTTP или HTTPS) с учетом содержимого журналов. Если приложение выполняет запись больших объемов данных, которые позже не заинтересуют никаких внешних получателей или специалистов по добыче чужой информации, то можно использовать протокол HTTP для более быстрой передачи. Однако Microsoft рекомендует защищать все передаваемые в Windows Azure Storage данные журналов с помощью протокола HTTPS. Регулирование скорости отправки запросов и применение ограничений на данные полей Если приложение должно выполнять какие-либо сложные и затратные по времени операции, разработчики обязаны предусмотреть встроенное средство регулирования скорости получения запросов. Также важно проверять новые синтаксические анализаторы, развертываемые в рамках веб-службы, подавая им на вход случайные данные. Портал для разработчиков систем безопасности Microsoft Security Development Lifecycle (SDL), расположенный по адресу содержит необходимые материалы по проверке синтаксических анализаторов с помощью случайных данных. Если служба проводит синтаксический анализ файла или запроса в проприетарном формате (например, если он инкапсулирован в HTTP-запрос), то испытание случайными данными необходимо для проверки того, сможет ли программный код правильно обработать неверные входные данные. Если говорить в общем, то успешное 24-часовое тестирование веб-службы в подобном режиме является хорошим признаком устойчивости системы к возможным угрозам. За этот период автоматизированная платформа тестирования передачей случайных данных способна подать на вход веб-службы итераций данных по каждому из новых форматов или протоколов. Тестирование случайными данными является одним из современных требований Microsoft к обычному «коробочному» ПО. Средства безопасности Windows Azure для уровней платформы и инфраструктуры В этом разделе дается общий обзор угроз безопасности, которые вместо разработчиков ПО снижает сама платформа Windows Azure и базовая сетевая инфраструктура.

13 Сканирование портов и перечисление служб Открытые и адресуемые сетевые порты (внутренние и внешние) виртуальной машины Windows Azure явным образом заданы в файле определения службы. Кроме расширенных средств фильтрации пакетов в коммутаторе виртуальных машин, который блокирует неавторизованный трафик, на каждой из машин включен брандмауэр Windows. «Отказ в обслуживании» Система балансировки нагрузки в Windows Azure позволяет частично снизить угрозу атак класса «отказ в обслуживании» из Интернета и внутренних сетей. Это достигается совместно с разработчиками, которые должны настроить соответствующий файл определения служб для всех экземпляров масштабируемых виртуальных машин. Доступ к виртуальным машинам Windows Azure из Интернета возможен только с помощью публичных виртуальных IP-адресов. Сетевой трафик с виртуальных публичных адресов маршрутизируется через инфраструктуру балансировки нагрузки, которая обслуживает среду Windows Azure. Windows Azure отслеживает и выявляет инициированные изнутри нее атаки класса «отказ в обслуживании» и удаляет учетные записи и виртуальные машины злоумышленников из сети. В качестве дополнительной меры защиты предусмотрено следующее: основная ОС хост-компьютера, управляющая гостевыми виртуальными машинами в облачной среде, не может быть адресована напрямую другими арендаторами сети Azure, внешняя адресация основной ОС хост-компьютера также не поддерживается. Специалисты Windows Azure также анализируют возможность применения дополнительных решений для защиты от распределенных атак класса «отказ в обслуживании» (DDoS), доступные в качестве служб Microsoft Global Foundation Services, что обеспечит дополнительную защиту от подобных атак. Спуфинг Виртуальные локальные сети (VLAN) используются для разделения внутренней сети на сегменты, что делает невозможным применение скомпрометированных узлов для олицетворения доверенных систем, например, контроллера структуры (Fabric Controller, FC). Коммутатор виртуальных машин содержит дополнительные фильтры, блокирующие трафик широковещательных и многоадресных запросов, за исключением трафика, необходимого службе DHCP для управления арендой IP-адресов. Более того, канал обмена данными между корневой ОС и контроллером структуры (Fabric Controller, FC) подвергается шифрованию и поддерживает аутентификацию через HTTPS-соединение, что позволяет защитить от перехвата передаваемые сведения о конфигурации и сертификатах. Прослушивание канала и перехват пакетов Виртуальный коммутатор гипервизора защищает от перехвата пакетов злоумышленниками, которые используют для этой цели другие виртуальные машины, размещенные на одном физическом хосткомпьютере с жертвой. Стоечные коммутаторы используются для поддержки перечней IP- и MACадресов, доступных отдельным виртуальным машинам, что позволяет снизить риск атак, использующих перехват пакетов во внутренних сетях. Чтобы перехватывать пакеты, передаваемые внутри облачной среды Windows Azure, злоумышленнику сначала придется скомпрометировать арендатора виртуальной машина таким образом, чтобы получить права администратора виртуальной машины, а затем использовать уязвимость гипервизора с целью взлома корневой ОС физической машины и получения прав системной учетной записи. Проделав все это, злоумышленник сможет видеть только входящий трафик скомпрометированного хост-компьютера, предназначенный для динамических IP-адресов гостевых виртуальных машин, управляемых гипервизором. Поддержка нескольких арендаторов и атаки по сторонним каналам Атаки раскрытия информации (например, перехват пакетов) менее разрушительны, нежели другие формы атак изнутри центров обработки данных Windows Azure, поскольку виртуальные машины по

14 умолчанию не являются доверенными для гипервизора корневой ОС. Корпорация Microsoft провела большую аналитическую работу для определения степени уязвимости всей платформы к атакам по сторонним каналам. Труднее всего оказалось снизить риски, связанные с атаками по времени. При проведении атак по времени приложение измеряет длительность выполнения некоторых операций и на основании этого делает логические выводы о том, что происходит на другом процессоре. Определяя случаи ошибок при доступе к кэш-памяти, злоумышленник может установить, какие именно строки кэшпамяти запрашиваются программным кодом. Поскольку некоторые реализации криптографических алгоритмов предусматривают просмотр больших таблиц, знание шаблонов доступа к оперативной памяти способно помочь в выявлении ключа шифрования, и это даже с учетом разрозненности строк кэша. Подобные атаки кажутся чрезмерно сложными и зависящими от многих факторов, но их эффективность была наглядно продемонстрирована в контролируемой среде. Существует большое число причин, по которым вероятность успешных атак по сторонним каналам в среде Windows Azure крайне низка. Эти атаки лучше всего срабатывают в контексте гиперпоточности, когда несколько потоков используют кэш-память совместно. Во многих современных процессорах реализованы полностью независимые процессорные ядра, каждое из которых может обладать собственной кэш-памятью значительного объема. Микросхемы процессоров, используемые для поддержки современной среды Windows Azure, имеют четыре ядра и общую кэш-память только третьего уровня. Среда Windows Azure выполняется на узлах, содержащих пары четырехъядерных процессоров, поэтому общий доступ к кэш-памяти используют три других процессора одновременно, а шину памяти делят уже семь процессоров. Эти возможности общего доступа приводят к возникновению значительного шума при передаче любых сигналов от одного процессора другому, поскольку одновременные операции нескольких процессоров приводят к обфускации сигнала. Как правило, среда Windows Azure выделяет отдельные процессоры конкретным виртуальным машинам. Любая система, в которой используются недостаточно загруженные процессоры, а количество логических процессоров превышает количество физических, уязвима для считывания шаблонов доступа к кэш-памяти при переключении контекстов. В среде Windows Azure реализован иной принцип работы. Виртуальные машины могут переноситься с одного процессора на другой, но навряд ли эта процедура будет выполняться достаточно часто, чтобы злоумышленники смогли считать какую-либо информацию. Внешняя проверка Корпорация Microsoft заключила договоры с двумя ведущими компаниями в сфере информационной безопасности, которые выполнили оценку эффективности различных элементов системы безопасности, реализованных в архитектуре Azure. Эта проверка была проведена перед конференцией разработчиков Professional Developers Conferences (PDC) в 2008 и 2009 гг. Каждая из компаний затратила значительное время на изучение защищенных границ в среде виртуализации, а также попытки атак по сторонним каналам или путем создания избыточной нагрузки на подсистему ввода-вывода. Ни одна из этих компаний не смогла провести успешную атаку на систему. При этом нельзя сказать, что подобная атака не может закончиться успешно, однако этого не смогли добиться шесть профессиональных тестировщиков, работавшие в течение семи недель. Эти тесты послужили дополнением к обязательному тестированию системы безопасности внутренними специалистами.

15 Безопасность среды выполнения: разделение ролей и прав процессов в системе полного доверия и сравнение с системой частичного доверия в среде Windows Azure В среде Windows Azure реализована нестандартная модель доверия на основе ограниченных прав, доступная всем ролям и носящая название Модель частичного доверия Windows Azure. В зависимости от требований заказчика, среда Windows Azure также поддерживает модель полного доверия с возможностью выполнения машинного кода. Модель полного доверия с возможностью выполнения машинного кода поддерживает реализацию следующих сценариев. Использование FastCGI или PHP. Миграция традиционных веб-служб в облако. Вызов ролей и запуск вложенных процессов Windows (на основе машинного кода или управляемых). Вызовы функций из стандартных библиотек с помощью служб P/Invoke (Platform Invocation Services). Для роли, которой не требуются перечисленные выше функции, должна быть включена модель частичного доверия Windows Azure Partial Trust. Этот параметр не только позволяет сократить спектр возможных атак на роль, но также позволяет уменьшить ущерб от компрометации роли (см. раздел далее в этом документе, посвященный сравнению модели частичного доверия Windows Azure и модели полного доверия). Независимо от выбранной модели доверия, роли заказчика размещаются в процессах svchost, не имеющих административных прав. Эти процессы svchost выполняются под SID учетных записей виртуальных служб, а не под учетными записями локальной системы, сетевой службы или администратора. Подобное ограничение позволяет создать двухуровневую эшелонированную защиту: Скомпрометированная служба не может управлять другими экземплярами той же самой службы, если эти экземпляры размещены на других виртуальных машинах, что позволяет ограничить ширину вторжения только тем компьютером, на который была нацелена атака. Скомпрометированная служба не может с легкостью атаковать виртуальную машину гостевой операционной системы с целью компрометации ОС физического хост-компьютера. Скомпрометированная веб-роль, использующая модель частичного доверия Windows Azure, не может использовать средство P/Invoke для вызова функций из бинарных файлов с машинным кодом, которые затем могут использоваться для получения конфиденциальной информации о службе у виртуальной машины (например, о хранилище данных ключей или об интеллектуальной собственности, которая может присутствовать в памяти этого приложения). Это также позволяет уменьшить риск прямых атак на основной хост-компьютер с помощью границы гипервизора для корневой или гостевой машины с целью получения контроля над системой.

16 Подводя итоги: разработка более безопасных приложений Windows Azure Понимание разработчиками моделей доверия Windows Azure, применяемых в среде выполнения, а также средств обеспечения безопасности и сфер ответственности каждого из слоев облачной службы, позволит создавать более безопасные приложения с учетом приведенных ниже рекомендаций. Изоляция веб-ролей и разделение обязанностей отдельных ролей для максимального использования модели частичного доверия Windows Azure Приложение В с перечнем уровней доверия служит примером подмножества ограничений политик частичного доверия. Полный перечень ограничений содержится в документе Справочник по модели частичного доверия Windows Azure. Влияние этих ограничений системы безопасности иллюстрирует преимущества использования модели частичного доверия Windows Azure для обеспечения безопасности служб Windows Azure, и в особенности тех ролей, которые поддерживают доступ к среде из Интернета. Эта модель ограничивает возможности использования большинства операций, связанных с доступом к локальным переменным, файловой системой и реестром. Веб-соединения и использование сокетов также ограничено. Использование шаблона проектирования Gatekeeper для разделения обязанностей ролей и изоляции объектов с привилегированным доступом Gatekeeper представляет собой шаблон проектирования, в котором используется брокер доступа к хранилищу, что позволяет сократить спектр атак на привилегированные роли. Это достигается путем ограничения взаимодействия между ролями только обменом данными по внутренним личным каналам и только с другими веб-ролями или ролями исполнителей. Развертывание этих ролей выполняется на отдельные виртуальные машины. В случае успешной атаки на веб-роль привилегированный ключ не подвергается компрометации. Лучшей иллюстрацией этого шаблона служит следующий пример, в котором используются две роли: GateKeeper это веб-роль, применяемая для обслуживания запросов из Интернета. Поскольку эти запросы являются потенциально вредоносными, роли Gatekeeper не доверены никакие другие обязанности, кроме проверки входных данных. Роль GateKeeper реализована в управляемом коде и выполняется согласно модели частичного доверия Windows Azure. Параметры конфигурации службы для этой роли не содержат никакой информации об общих ключах, используемых внутри Windows Azure Storage. KeyMaster это привилегированная роль серверного исполнителя, которая занимается только получением входных данных от роли Gatekeeper по безопасному каналу (с помощью внутренней конечной точки или очереди хранения, которые поддерживают защиту посредством протокола HTTPS). Роль KeyMaster обрабатывает запросы обращения к хранилищу, передаваемые ролью GateKeeper, и по умолчанию считает, что эти запросы подвергнуты некоторой проверке. Роль KeyMaster, обеспечивающая получение данных из табличного хранилища или хранилища BLOBданных, настроена с использованием сведений об учетной записи Windows Azure Storage, полученной из конфигурации службы. Затем полученные данные могут быть переданы клиенту, который их запросил. Подобная архитектура не требует использования отношений полного доверия или машинного кода, но обеспечивает достаточную гибкость для запуска роли KeyMaster с использованием повышенных прав, если это необходимо.

17 Запрос клиента Проверенный запрос к данным от внутренней конечной Запрос к точки хранилищу Клиент Веб-роль GateKeeper (частичное доверие) Роль исполнителя KeyMaster Хранилище Возвращенные данные хранилища Передача данных хранилища клиенту Возврат данных хранилища Рис. 1. Шаблон проектирования Gatekeeper Это решение не является идеальным, поскольку KeyMaster опирается на GateKeeper при определении возвращаемого содержимого. Однако он обеспечивает разделение обязанностей, что способно создать дополнительные трудности для злоумышленника. Степень доверия роли KeyMaster к роли GateKeeper может быть настроена в соответствии с индивидуальными требованиями, но рекомендуется уменьшать количество типов запросов доступа, разрешенных от роли GateKeeper. Это позволит роли KeyMaster принимать от роли GateKeeper API-запросы на чтение BLOB-данных из хранилища и получение списка объектов, но не принимать запросы на выполнение операций записи или удаления данных. Этот шаблон обеспечивает простоту адаптации для поддержки более сложных архитектур служб в среде Windows Azure. Для этой цели необходимо лишь размещать роль Gatekeeper с частичными правами перед ролями с повышенными правами (или использующими машинный код) для выполнения синтаксического разбора потенциально вредоносных данных из сети. Эта концепция аналогична запуску брандмауэра в качестве сетевой службы для взаимодействия с TCP-пакетами из внешней сети перед тем, как передавать их более критически важным компонентам, расположенным выше по стеку. Если невозможно применить роль Gatekeeper, используйте несколько ключей хранилища для ограничения доступа к конфиденциальной информации В тех сценариях, где невозможно разместить роль Gatekeeper с моделью частичного доверия перед ролью с моделью полного доверия, для защиты доверенных данных хранилища можно применить шаблон проектирования с поддержкой нескольких ключей. Примером реализации подобного сценария может быть использование веб-роли PHP в качестве интерфейсной веб-роли, в то время как размещение перед ней роли Gatekeeper с моделью частичного доверия способно понизить производительность до неприемлемого уровня. Одной подписке на среду Windows Azure можно присвоить до пяти ключей хранилища. Подобный уровень разнообразия можно использовать для снижения угрозы раскрытия данных при краже одного из ключей, когда ключи с более низкими уровнями доверия присваиваются ролям с пониженными уровнями доверия, а ключи с высоким уровнем доверия присваиваются аналогичным ролям. Изображенная на рисунке ниже «Недоверенная веб-роль А» имеет доступ только к одной учетной записи хранилища и не имеет достаточных прав для выполнения каких-либо других действий, кроме синтаксического анализа входящих запросов и внесения их в журнал учетной записи хранилища «А». Размещенная на ее фоне «Доверенная веб-роль Б» обладает ключами доступа к обоим хранилищам «А» и «Б», но неуязвима для потенциально вредоносных, неверных входных данных. «Доверенная роль «Б» обрабатывает и фильтрует запросы от недоверенной роли с помощью хранилища А, но ожидает

18 специальной структуры или формата запросов. Роль Б никогда не доверяет роли А полностью, что позволяет защитить «настоящий» ключ хранилища (учетная запись Б) даже в случае появления полностью скомпрометированной недоверенной роли с правами доступа к Интернету. Как и в случае применения шаблона Gatekeeper, доверенная роль не должна обеспечивать свободный доступ к доверенному хранилищу от имени веб-роли А, но должна поддерживать только подмножество разрешенных команд (например, в некоторых ситуациях может поддерживаться чтение, но не создание, обновление и удаление ). Клиент Потенциально вредоносные входные данные Недоверенная веб-роль А: выполняет проверку входных данных. Использует только Отклики учетную запись хранилища А Проверенные данные, но НЕДОВЕРЕННЫЕ запросы Благодарности Недоверенное хранилище, ключ учетной записи А Возврат данных Роль А проверяет запрос на выдачу данных Передача данных хранилища клиенту Доверенная веброль или роль исполнителя Б: расширенная проверка входных данных: несколько ключей хранилища Запросы к доверенному хранилищу Возврат данных ДОВЕРЕННОЕ хранилище, ключ учетной записи Б Рис. 2. Шаблон проектирования с использованием нескольких ключей Шаблон проектирования с использованием нескольких ключей имеет некоторые преимущества над шаблоном с использованием ролей Gatekeeper и KeyMaster: Разделение обязанностей между учетными записями для доступа к хранилищу. В случае компрометации веб-роли А теряются только недоверенная учетная запись для доступа к хранилищу и связанный с ней ключ. Не требуется указывать внутренние конечные точки службы. Вместо них необходимо использовать несколько учетных записей системы хранения. Использование модели частичного доверия Windows Azure не является обязательным для работы с недоверенной веб-ролью, доступной из Интернета. Поскольку PHP не поддерживает

19 модель частичного доверия, роль Gatekeeper невозможно настроить для хостинга с поддержкой PHP. Применение методов SDL при разработке приложений для Windows Azure В следующем разделе описаны методы обеспечения безопасности, которые необходимо использовать при проектировании и создании приложений для среды Windows Azure. Жизненный цикл разработки приложений Microsoft Security Development Lifecycle (SDL) относится не только к разработке приложений для платформы Windows Azure, но и к разработке приложений для любых других платформ. Большинство приложений Windows Azure разрабатываются с применением методологии Agile. В результате использование жизненного цикла SDL совместно с методологией Agile может оказаться более подходящим для приложений, размещаемых на платформе Windows Azure, нежели применение классического цикла SDL со строго заданными этапами разработки. Веб-сайт Microsoft, посвященный жизненному циклу SDL, содержит подробные сведения о применении SDL совместно с методологией Agile. Корпорация Microsoft требует соблюдения жизненного цикла SDL при разработке всех приложений Microsoft, предназначенных для развертывания на платформе Windows Azure. Использование жизненного цикла SDL позволяет устранить угрозы безопасности, характерные для процесса разработке, с помощью следующих средств: моделирование угроз в ходе проектирования, соблюдение рекомендаций по разработке приложений и стандартов безопасности программного кода в ходе его написания, а также за счет применения различных инструментов тестирования и верификации кода перед развертыванием приложений. Применение в ходе разработки ПО этих средств упреждающей проверки позволяет понизить степень уязвимости программного обеспечения к потенциальным угрозам после выпуска. Жизненный цикл SDL также содержит структурированную и единообразную методологию использования средств тестирования. Применение подобных методологий, ориентированных на обеспечение высочайшего уровня безопасности, помогло корпорации Microsoft в разработке более безопасного ПО. Все разработчики программного обеспечения для платформы Windows Azure могут использовать аналогичные методы для повышения безопасности своих приложений. Обучение и обмен информацией по вопросам безопасности Если команда разработчиков не понимает основы проектирования и разработки безопасных приложений или риски, связанные с использованием веб-служб и приложений, то соответствующее обучение становится насущной необходимостью. Его необходимо провести перед началом работ по проектированию, разработке, тестированию или развертыванию любых приложений Windows Azure. Все участники команд разработчиков приложений должны знать основы разработки безопасных приложений и новейшие тенденции в сфере безопасности и защиты конфиденциальной информации. Каждый из них обязан раз в году посетить хотя бы одно соответствующее занятие это минимальное требование. Необходимо поощрять поиск участниками команд разработчиков любых возможностей, связанных с получением дополнительного образования в сфере безопасности и защиты конфиденциальной информации. Разработчики, сведущие в современных вопросах безопасности, способны проектировать и разрабатывать приложения с учетом первостепенной важности вопросов безопасности. Для них этот аспект работы приложения отнюдь не является маловажной «дополнительной функцией», которую следует добавлять в самом завершении процесса разработки ПО.

20 Если принять во внимание, что приложения Windows Azure, как правило, представляют собой вебприложения на основе управляемого программного кода (ASP.NET), то перечень соответствующих вопросов информационной безопасности будет выглядеть следующим образом. Проектирование безопасных приложений, включая следующие темы: Сокращение площади возможных атак Многоуровневая защита Принцип минимума полномочий Моделирование угроз Программирование безопасных приложений, включая следующие темы: Межсайтовые сценарии SQL-инъекции Безопасность управляемого программного кода (прозрачность, безопасность доступа к коду, строгое именование сборок и т. п.) Руководство по процедурам SDL в соответствующей документации содержит ссылки на книги и обучающие материалы, полезные для начала обучения по программе SDL. Методы разработки безопасных приложений для платформы Windows Azure В состав методологии разработки SDL входят руководство по использованию средств разработки и методы работы, относящиеся к платформе Azure. Для получения современных версий компиляторов, компоновщиков и прочих инструментов, необходимых для использования методологии SDL, см. раздел Жизненный цикл SDL в Приложении Д. При компиляции программ для платформы Win64 используйте ту версию компилятора, которая указана в требованиях жизненного цикла разработки SDL, или более новую. Программный код C/C++: Visual C с пакетом обновления 1 (SP1) Программный код C# или Visual Basic.NET: Visual C# 2005 и Visual Basic.NET 2005 Компиляцию и сборку машинного кода C/C++ следует выполнять с указанием параметров /GS, /SAFESEH, /DYNAMICBASE и /NXCOMPAT. Эти параметры указаны по умолчанию в среде разработки Visual C с пакетом обновления 1 (SP1) или более поздним. Вы можете проверить использование этих параметров с помощью средства анализа бинарных файлов BinScope. Машинный код, созданный с помощью языков C или C++Ю, не должен использовать запрещенные функции обработки буферов. Для получения дополнительной информации см. документ Security Development Lifecycle (SDL) Banned Function Calls (Жизненный цикл разработки SDL: запрещенные вызовы функций). Используйте требуемые (или более новые) версии инструментов анализа программного кода, когда работаете с машинным кодом, созданным с помощью языков C and C++ (помните о параметре /analyze, который предусмотрен в компиляторе).

20742B: Возможности идентификации в Windows Server B: Identity with Windows Server 2016.

20742B: Возможности идентификации в Windows Server B: Identity with Windows Server 2016. 20742B: Возможности идентификации в Windows Server 2016. 20742B: Identity with Windows Server 2016. Официальная программа курса на английском языке Содержание Краткая информация... 2 Обзор... 2 О курсе...

Подробнее

УЧЕБНЫЙ ПЛАН Программы профессиональной переподготовки "Разработка системного программного обеспечения"

УЧЕБНЫЙ ПЛАН Программы профессиональной переподготовки Разработка системного программного обеспечения УЧЕБНЫЙ ПЛАН Программы профессиональной переподготовки "Разработка системного программного обеспечения" Цель обучения: Получение необходимых знаний и практических навыков для выполнения задач разработки

Подробнее

УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки "Системное администрирование (специализация Microsoft Windows)"

УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки Системное администрирование (специализация Microsoft Windows) УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки "Системное администрирование (специализация Microsoft Windows)" Цель обучения: Получение необходимых знаний и практических навыков для выполнения

Подробнее

ViPNet Administrator 4. Руководство по миграции программного обеспечения на другой компьютер

ViPNet Administrator 4. Руководство по миграции программного обеспечения на другой компьютер ViPNet Administrator 4 Руководство по миграции программного обеспечения на другой компьютер 1991 2016 ОАО «ИнфоТеКС», Москва, Россия ФРКЕ.00109-07 90 05 Этот документ входит в комплект поставки программного

Подробнее

A: Планирование и администрирование SharePoint A: Planning and Administering SharePoint 2016

A: Планирование и администрирование SharePoint A: Planning and Administering SharePoint 2016 20339-1A: Планирование и администрирование SharePoint 2016 20339-1A: Planning and Administering SharePoint 2016 Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании

Подробнее

Xerox FreeFlow Core 5.0 ( ) Июль 2016 г. 708P Xerox FreeFlow Core Руководство по обеспечению безопасности

Xerox FreeFlow Core 5.0 ( ) Июль 2016 г. 708P Xerox FreeFlow Core Руководство по обеспечению безопасности Xerox FreeFlow Core 5.0 (5.0.0.0) Июль 2016 г. 708P91226 Руководство по обеспечению безопасности Корпорация Xerox, 2016 г. Все права защищены. Xerox, Xerox и Design, FreeFlow и VIPP являются товарными

Подробнее

MAPILab Reports for Hardware and Software Inventory Руководство по установке. Версия документа 1.0

MAPILab Reports for Hardware and Software Inventory Руководство по установке. Версия документа 1.0 MAPILab Reports for Hardware and Software Inventory Руководство по установке Версия документа 1.0 Мапилаб, январь 2010 Введение... 3 1. Архитектура продукта и основные понятия... 4 2. Системные требования...

Подробнее

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ. Руководящий документ

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ. Руководящий документ ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ Руководящий документ АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И

Подробнее

ПО Intel для управления системами. Руководство пользователя пакета Intel для управления модульным сервером

ПО Intel для управления системами. Руководство пользователя пакета Intel для управления модульным сервером ПО Intel для управления системами Руководство пользователя пакета Intel для управления модульным сервером Правовая информация ИНФОРМАЦИЯ В ЭТОМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ ДЛЯ СООТВЕТСТВУЮЩЕЙ ПРОДУКЦИИ INTEL

Подробнее

Операционная система «ОСь» Описание применения Листов 13

Операционная система «ОСь» Описание применения Листов 13 Операционная система «ОСь» Описание применения Листов 13 Москва 2017 2 АННОТАЦИЯ Настоящий документ является описанием применения операционной системы «ОСь» (далее «ОСь» или ОС). В документе сформулированы

Подробнее

ЗАДАЧИ, РЕШАЕМЫЕ ПРИ ФОРМИРОВАНИИ ДОМЕННОЙ СТРУКТУРЫ

ЗАДАЧИ, РЕШАЕМЫЕ ПРИ ФОРМИРОВАНИИ ДОМЕННОЙ СТРУКТУРЫ ДОМЕНЫ Операционные системы Windows традиционно использовали понятие "домена" для логического объединения компьютеров, совместно использующих единую политику безопасности. Домен выступает в качестве основного

Подробнее

СИСТЕМА ХРАНЕНИЯ НОРМАТИВНЫХ ДАННЫХ

СИСТЕМА ХРАНЕНИЯ НОРМАТИВНЫХ ДАННЫХ СИСТЕМА ХРАНЕНИЯ НОРМАТИВНЫХ ДАННЫХ 11150642.3222106.00305.ПП.01.5.М Документ является Описанием продукта «Система хранения нормативных данных» (PETER- SERVICE DRS). Данная документация может не отражать

Подробнее

Предложение по миграции SharePoint 2013 Migration Offer Часто задаваемые вопросы

Предложение по миграции SharePoint 2013 Migration Offer Часто задаваемые вопросы Предложение по миграции SharePoint 2013 Migration Offer Часто задаваемые вопросы 26 сентября 2016 г. ОБЗОР FastTrack предоставит услуги миграции с локального SharePoint 2013 в виде предложения с ограниченным

Подробнее

Конвергентная биллинговая система WideCoup Billing 3.0. Мониторинг событий и контроль доступа

Конвергентная биллинговая система WideCoup Billing 3.0. Мониторинг событий и контроль доступа Конвергентная биллинговая система WideCoup Billing 3.0 Мониторинг событий и контроль доступа NATEC R&D, 2010 СОДЕРЖАНИЕ Общие сведения...3 Аудит событий безопасности...3 Общие сведения об аудите...3 Общие

Подробнее

ВЗГЛЯНИТЕ ПО-НОВОМУ НА ПРОСТОТУ ПОЧЕМУ ЗАКАЗЧИКИ ВЫБИРАЮТ EMC VSPEX BLUE ДЛЯ ВИРТУАЛИЗИРОВАННЫХ СРЕД ГИБКОСТЬ. МАСШТАБИРУЕМОСТЬ. НАДЕЖНОСТЬ.

ВЗГЛЯНИТЕ ПО-НОВОМУ НА ПРОСТОТУ ПОЧЕМУ ЗАКАЗЧИКИ ВЫБИРАЮТ EMC VSPEX BLUE ДЛЯ ВИРТУАЛИЗИРОВАННЫХ СРЕД ГИБКОСТЬ. МАСШТАБИРУЕМОСТЬ. НАДЕЖНОСТЬ. ВЗГЛЯНИТЕ ПО-НОВОМУ НА ПРОСТОТУ ГИБКОСТЬ. МАСШТАБИРУЕМОСТЬ. НАДЕЖНОСТЬ. ПОЧЕМУ ЗАКАЗЧИКИ ВЫБИРАЮТ EMC VSPEX BLUE ДЛЯ ВИРТУАЛИЗИРОВАННЫХ СРЕД Взгляните по-новому на простоту: гибкость, масштабируемость

Подробнее

Kerberos с ADFS 2.0 для конечного пользователя SSO SAML для примера конфигурации Jabber

Kerberos с ADFS 2.0 для конечного пользователя SSO SAML для примера конфигурации Jabber Kerberos с ADFS 2.0 для конечного пользователя SSO SAML для примера конфигурации Jabber Содержание Введение Предварительные условия Требования Используемые компоненты Общие сведения!--- конфигурацию Проверка

Подробнее

УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки "Создание виртуальных инфраструктур на платформе VMware vsphere 5.0"

УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки Создание виртуальных инфраструктур на платформе VMware vsphere 5.0 УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки "Создание виртуальных инфраструктур на платформе VMware vsphere 5.0" Цель обучения: Получение необходимых знаний и практических навыков решения задач

Подробнее

ПЯТЬ ОСНОВНЫХ ПРИЧИН, ПО КОТОРЫМ ЗАКАЗЧИКИ РАЗВЕРТЫВАЮТ MICROSOFT SQL SERVER НА БАЗЕ УНИФИЦИРОВАННЫХ СХД EMC VNX

ПЯТЬ ОСНОВНЫХ ПРИЧИН, ПО КОТОРЫМ ЗАКАЗЧИКИ РАЗВЕРТЫВАЮТ MICROSOFT SQL SERVER НА БАЗЕ УНИФИЦИРОВАННЫХ СХД EMC VNX ПЯТЬ ОСНОВНЫХ ПРИЧИН, ПО КОТОРЫМ ЗАКАЗЧИКИ РАЗВЕРТЫВАЮТ MICROSOFT SQL SERVER НА БАЗЕ УНИФИЦИРОВАННЫХ СХД EMC VNX Хотите помочь администраторам баз данных упростить ежедневные задачи по поддержанию производительности

Подробнее

Дмитрий Андреев Эксперт по архитектуре информационных систем Microsoft

Дмитрий Андреев Эксперт по архитектуре информационных систем Microsoft Дмитрий Андреев Эксперт по архитектуре информационных систем Microsoft Россия dmitryan@microsoft.com @dmandreev Изменения в модели служб от 2007 к 2010 Компоненты модели служб Готовые приложения-службы

Подробнее

PI Analysis Service. Руководство по установке. Для платформы PI Asset Framework 2.8, поставляемой в составе PI Server 2016

PI Analysis Service. Руководство по установке. Для платформы PI Asset Framework 2.8, поставляемой в составе PI Server 2016 PI Analysis Service Руководство по установке Для платформы PI Asset Framework 2.8, поставляемой в составе PI Server 2016 OSIsoft, LLC 777 Davis St., Suite 250 San Leandro, CA 94577 USA (Соединенные Штаты

Подробнее

Защита информации. Система биометрической идентификации пользователей корпоративных сетей и приложений

Защита информации. Система биометрической идентификации пользователей корпоративных сетей и приложений Защита информации Система биометрической идентификации пользователей корпоративных сетей и приложений IDenium: Назначение и функции защита информации от несанкционированного доступа замена громоздких и

Подробнее

LIS-SPS v ФУНКЦИОНАЛЬНАЯ СПЕЦИФИКАЦИЯ

LIS-SPS v ФУНКЦИОНАЛЬНАЯ СПЕЦИФИКАЦИЯ LIS-SPS v.2.0.0.2 ФУНКЦИОНАЛЬНАЯ СПЕЦИФИКАЦИЯ 68470160-05-2.0.0.2-35 2016 г. Стр. 2 Аннотация Настоящий документ содержит описание функций, назначения, условий использования системы поддержки процессов

Подробнее

ДОПОЛНЕНИЕ О ПРАВАХ НА ИСПОЛЬЗОВАНИЕ ПРОДУКТА ДЛЯ SYMANTEC ENDPOINT PROTECTION

ДОПОЛНЕНИЕ О ПРАВАХ НА ИСПОЛЬЗОВАНИЕ ПРОДУКТА ДЛЯ SYMANTEC ENDPOINT PROTECTION ДОПОЛНЕНИЕ О ПРАВАХ НА ИСПОЛЬЗОВАНИЕ ПРОДУКТА ДЛЯ SYMANTEC ENDPOINT PROTECTION Дополнение о правах на использование продукта ("Дополнение") содержит дополнительные условия и положения для Лицензионного

Подробнее

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС- 2.х-201х ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ

Подробнее

Дорабатывать открытый код самостоятельно или использовать решение российского вендора?

Дорабатывать открытый код самостоятельно или использовать решение российского вендора? Дорабатывать открытый код самостоятельно или использовать решение российского вендора? Почему Р-Виртуализация лучше открытого KVM и как это вам поможет На первый взгляд решения, построенные целиком на

Подробнее

«Web-программирование (РНР, MySQL)» 2

«Web-программирование (РНР, MySQL)» 2 «Web-программирование (РНР, MySQL)» 2 1. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОГРАММЫ Данная дополнительная профессиональная программа разработана в соответствии с ФГОС по специальности 230115 «Программирование в компьютерных

Подробнее

10709А: Установка и настройка клиента Windows 7 (русскоязычная версия курса 6292)

10709А: Установка и настройка клиента Windows 7 (русскоязычная версия курса 6292) 10709А: Установка и настройка клиента Windows 7 (русскоязычная версия курса 6292) 10709А: Установка и настройка клиента Windows 7 (русскоязычная версия курса 6292) Содержание Краткая информация... 2 Обзор...

Подробнее

Каталог профессиональных сервисных услуг MiContact Center Solidus

Каталог профессиональных сервисных услуг MiContact Center Solidus Каталог профессиональных сервисных услуг MiContact Center Solidus МОСКВА ВЕРСИЯ 1.0 Содержание Обзор... 1. Бизнес-консультации 2. Технические консультации и проектирование 3. Миграция 4. Расширенные консультации

Подробнее

Оглавление. Предисловие Введение Об авторе Глава 1. Знакомство с Express Глава 2. Первые шаги с Node...

Оглавление. Предисловие Введение Об авторе Глава 1. Знакомство с Express Глава 2. Первые шаги с Node... Оглавление Предисловие.... 18 Введение.... 19 Для кого предназначена эта книга.... 19 Как устроена эта книга... 20 Учебный сайт.... 21 Используемые соглашения.... 22 Использование примеров исходного кода....22

Подробнее

Руководство по обновлению

Руководство по обновлению для среднего и крупного предприятия Руководство по обновлению Безопасность компьютеров Компания Trend Micro Incorporated оставляет за собой право вносить изменения в данный документ и описанные в нем продукты

Подробнее

Архитектуры информационных систем

Архитектуры информационных систем Лекция 2 1 По словарю: Архитектуры информационных систем Информационная система организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием

Подробнее

ТЕХНОЛОГИИ ФИЗИЧЕСКОГО УРОВНЯ ПЕРЕДАЧИ ДАННЫХ Занятие 22 Организация доступа к данным по сети

ТЕХНОЛОГИИ ФИЗИЧЕСКОГО УРОВНЯ ПЕРЕДАЧИ ДАННЫХ Занятие 22 Организация доступа к данным по сети ТЕХНОЛОГИИ ФИЗИЧЕСКОГО УРОВНЯ ПЕРЕДАЧИ ДАННЫХ Занятие 22 Организация доступа к данным по сети 1. Классификация сетей по принципу передачи данных и по типу коммуникационной среды, по способу доступа к данным

Подробнее

УДК

УДК УДК 004.457 Морозов Д.А студент 4 курс, факультет «Информационных систем и технологий» Поволжский Государственный Университет Телекоммуникаций и Информатики Россия, г. Самара ОЗНАКОМЛЕНИЕ И ИЗУЧЕНИЕ РАБОТЫ

Подробнее

1. Архитектура (SDN) программно-конфигурируемых сетей

1. Архитектура (SDN) программно-конфигурируемых сетей 1. Архитектура (SDN) программно-конфигурируемых сетей Программно-конфигурируемая сеть (ПКС) это новый подход к построению архитектуры компьютерных сетей, при котором уровень управления (УУ) сетью (состоянием

Подробнее

Информационное письмо о программном продукте IBM Europe, Middle East and Africa ZP от 12 июня 2012 г.

Информационное письмо о программном продукте IBM Europe, Middle East and Africa ZP от 12 июня 2012 г. ZP12-0276 от 12 июня 2012 г. Решение IBM SPSS Collaboration and Deployment Services V5.0 обеспечивает производительность, руководство аналитическим процессом и возможности развертывания, необходимые для

Подробнее

conjectpm Стандарт безопасности данных

conjectpm Стандарт безопасности данных conjectpm Стандарт безопасности данных 00 Обзор Два дата-центра в отказоустойчивой конфигурации Бесперебойное электроснабжение Резервные аварийные генераторы питания Выделенное электропитание от независимых

Подробнее

Виртуальный ЦОД от Ростелеком

Виртуальный ЦОД от Ростелеком Виртуальный ЦОД от Ростелеком Задачи Оперативная модернизация ИТинфраструктуры Оптимизация текущих затрат на поддержание действующей инфраструктуры Обеспечение защиты и безопасности хранения корпоративной

Подробнее

Администрирование локальных сетей. Лекция 9 Построение инфраструктуры открытых ключей (PKI)

Администрирование локальных сетей. Лекция 9 Построение инфраструктуры открытых ключей (PKI) Администрирование локальных сетей Лекция 9 Построение инфраструктуры открытых ключей (PKI) Обзор лекции Описание элементов и функций инфраструктуры открытых ключей (PKI). Функции сертификаты и сертификации

Подробнее

Управление документооборотом.

Управление документооборотом. Управление документооборотом. Корпорация Documentum является производителем одноименной платформы для управления неструктурированной информацией, составляющей основной объем информационных ресурсов предприятия

Подробнее

ОПИСАНИЕ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ «N3.Кадры» (АИС «N3.Кадры»)

ОПИСАНИЕ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ «N3.Кадры» (АИС «N3.Кадры») ОПИСАНИЕ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ «N3.Кадры» (АИС «N3.Кадры») ПЕРЕЧЕНЬ СОКРАЩЕНИЙ, ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ Сокращение Определение N3. Кадры, Система Автоматизированная информационная система

Подробнее

Возможности использования 1С Web-расширения

Возможности использования 1С Web-расширения Возможности использования 1С Web-расширения Механизмы Web-расширения используются для решения задач нескольких уровней, в различных комбинациях с другими системами. Реализация веб-доступа к информационной

Подробнее

Состав и содержание мер по обеспечению безопасности персональных данных, подлежащих реализации в информационных системах Вологодской городской Думы

Состав и содержание мер по обеспечению безопасности персональных данных, подлежащих реализации в информационных системах Вологодской городской Думы Приложение к постановлению Председателя от 31 марта 2016 года 64 «Приложение к Политике информационной безопасности Состав и содержание мер по обеспечению безопасности персональных данных, подлежащих реализации

Подробнее

ViPNet PKI Client TLS Unit. Руководство администратора

ViPNet PKI Client TLS Unit. Руководство администратора ViPNet PKI Client TLS Unit Руководство администратора 1991 2017 ОАО «ИнфоТеКС», Москва, Россия ФРКЕ..0175-02 34 01 Этот документ входит в комплект поставки программного обеспечения, и на него распространяются

Подробнее

Проблема. Решение. Сложный механизм работы «СёрчИнформ SIEM» сводится к довольно простому алгоритму:

Проблема. Решение. Сложный механизм работы «СёрчИнформ SIEM» сводится к довольно простому алгоритму: СёрчИнформ SIEM Проблема Утечки не случаются внезапно: им всегда предшествует ряд событий. Но, увы, значение некоторых становится ясным только постфактум. Упустили несанкционированное обращение сотрудника

Подробнее

УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ К СЕТЕВОМУ КЛЮЧУ CodeMeter ДЛЯ ARCHICAD

УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ К СЕТЕВОМУ КЛЮЧУ CodeMeter ДЛЯ ARCHICAD АРХИТЕКТУРА И СТРОИТЕЛЬСТВО УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ К СЕТЕВОМУ КЛЮЧУ CodeMeter ДЛЯ ARCHICAD Архитекторы зачастую работают удаленно от офиса работодателя: при работе на выезде с клиентом, работе на подряде.

Подробнее

Реализация и обеспечение безопасности VPN в корпоративной среде АВТОРЕФЕРАТ БАКАЛАВРСКОЙ РАБОТЫ

Реализация и обеспечение безопасности VPN в корпоративной среде АВТОРЕФЕРАТ БАКАЛАВРСКОЙ РАБОТЫ Министерство образования и науки Российской Федерации ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САРАТОВСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Подробнее

EMC XTREMCACHE УСКОРЯЕТ ВИРТУАЛЬНУЮ СРЕДУ ORACLE

EMC XTREMCACHE УСКОРЯЕТ ВИРТУАЛЬНУЮ СРЕДУ ORACLE Белая книга EMC XTREMCACHE УСКОРЯЕТ ВИРТУАЛЬНУЮ СРЕДУ ORACLE EMC XtremSF, EMC XtremCache, EMC Symmetrix VMAX и VMAX 10K, VMware XtremSF и XtremCache значительно повышают производительность среды Oracle

Подробнее

Руководство пользователя

Руководство пользователя Руководство пользователя Шлюз Avigilon Control Center Версия 5.0.2 UG-ACCGateway5-A-Rev2_RU 2013 Avigilon. Все права защищены. Копирование, распространение, публикация, изменение или включение этого документа

Подробнее

IBM InfoSphere Master Data Management Server V8.0.1 предоставляет компаниям возможность контролировать информацию

IBM InfoSphere Master Data Management Server V8.0.1 предоставляет компаниям возможность контролировать информацию Информационное письмо о программном продукте IBM Europe ZP08-0272 от 27 мая 2008 г. Server V8.0.1 предоставляет компаниям возможность контролировать информацию Содержание Краткое описание Обзор Краткое

Подробнее

Краткая информация. Обзор. О курсе. Профиль аудитории. По окончании курса По окончании курса слушатели смогут: Учебный курс

Краткая информация. Обзор. О курсе. Профиль аудитории. По окончании курса По окончании курса слушатели смогут: Учебный курс 10964 C: Мониторинг центров обработки данных и облаков при помощи System Center 10964 C: Cloud & Datacenter Monitoring with System Center Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль

Подробнее

Reimer, Stan Active Directory для Microsoft Windows Server, 2003 Оглавление

Reimer, Stan Active Directory для Microsoft Windows Server, 2003 Оглавление Reimer, Stan Active Directory для Microsoft Windows Server, 2003 Оглавление Введение 15 Структура книги 15 Соглашения, используемые в этой книге 19 Часть I Краткий обзор службы каталога Active Directory

Подробнее

ЭКОНОМИМ ВАШИ ДЕНЬГИ И ВРЕМЯ НА ПОДДЕРЖАНИЕ ИТ-ИНФРАСТРУКТУРЫ ИЗБАВЛЯЕМ ОТ РУТИНЫ СИСТЕМНЫХ АДМИНИСТРАТОРОВ «ВЕБ ДЕСК»

ЭКОНОМИМ ВАШИ ДЕНЬГИ И ВРЕМЯ НА ПОДДЕРЖАНИЕ ИТ-ИНФРАСТРУКТУРЫ ИЗБАВЛЯЕМ ОТ РУТИНЫ СИСТЕМНЫХ АДМИНИСТРАТОРОВ «ВЕБ ДЕСК» ЭКОНОМИМ ВАШИ ДЕНЬГИ И ВРЕМЯ НА ПОДДЕРЖАНИЕ ИТ-ИНФРАСТРУКТУРЫ ИЗБАВЛЯЕМ ОТ РУТИНЫ СИСТЕМНЫХ АДМИНИСТРАТОРОВ 2005 2017 «ВЕБ ДЕСК» КОМПАНИЯ WEBDESK / ВАШ НАДЁЖНЫЙ ИТ-ПАРТНЁР ВАШ НАДЁЖНЫЙ ИТ-ПАРТНЁР С 2005

Подробнее

Формы и Избранное. Версия 5.2. Руководство администратора

Формы и Избранное. Версия 5.2. Руководство администратора Формы и Избранное Версия 5.2 Руководство администратора Август 2017 г. www.lexmark.com Содержимое 2 Содержимое История изменений... 3 Общие сведения... 4 Настройка приложения...5 Доступ к Embedded Web

Подробнее

Применение хранилищ EonStor в VMware Infrastructure 3 Краткое содержание

Применение хранилищ EonStor в VMware Infrastructure 3 Краткое содержание Применение хранилищ EonStor в VMware Infrastructure 3 Краткое содержание В этом документе описываются тенденции виртуализации, преимущества виртуализации VMware, архитектура системы хранения VMware Infrastructure

Подробнее

13:00-14:00 Обзор платформы Microsoft :00-15:00 Новые возможности технологий Microsoft для разработки веб-решений 15:00-15:30 Перерыв

13:00-14:00 Обзор платформы Microsoft :00-15:00 Новые возможности технологий Microsoft для разработки веб-решений 15:00-15:30 Перерыв Innovation Day Техническая секция 13:00-14:00 Обзор платформы Microsoft 2010 14:00-15:00 Новые возможности технологий Microsoft для разработки веб-решений 15:00-15:30 Перерыв 15:30-16:15 Использование

Подробнее

ПРЕДСТАВЛЕНИЕ ПЛАТФОРМЫ WINDOWS AZURE

ПРЕДСТАВЛЕНИЕ ПЛАТФОРМЫ WINDOWS AZURE ПРЕДСТАВЛЕНИЕ ПЛАТФОРМЫ WINDOWS AZURE ПРЕДВАРИТЕЛЬНЫЙ ОБЗОР WINDOWS AZURE, SQL AZURE И.NET SERVICES ДЭВИД ЧЭППЕЛ (DAVID CHAPPELL), АВГУСТ 2009 Г. ПРИ СПОНСОРСКОЙ ПОДДЕРЖКЕ КОРПОРАЦИИ МАЙКРОСОФТ СОДЕРЖАНИЕ

Подробнее

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ. ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА «Dallas Lock 8.0» Инструкция по использованию MS SQL-сервера для СБ

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ. ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА «Dallas Lock 8.0» Инструкция по использованию MS SQL-сервера для СБ УТВЕРЖДЕН RU.48957919.501410-02 И3-ЛУ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА «Dallas Lock 8.0» Инструкция по использованию MS SQL-сервера для СБ RU.48957919.501410-02 И3 Листов 34 2017

Подробнее

Соответствие требованиям PCI DSS. 29 июня 2012 г.

Соответствие требованиям PCI DSS. 29 июня 2012 г. Соответствие требованиям PCI DSS 29 июня 2012 г. Содержание Соответствие требованиям PCI DSS Соотношение формальных требований PCI DSS и состояния информационной безопасности 2 Какова важность соответствия

Подробнее

A: Администрирование Microsoft Exchange Server A: Administering Microsoft Exchange Server 2016

A: Администрирование Microsoft Exchange Server A: Administering Microsoft Exchange Server 2016 20345-1A: Администрирование Microsoft Exchange Server 2016 20345-1A: Administering Microsoft Exchange Server 2016 Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании

Подробнее

Technology СОСТАВ СИСТЕМЫ

Technology СОСТАВ СИСТЕМЫ OMMG Technology СОСТАВ 3 4 5 OMMG Technology СОСТАВ РЕАЛИЗУЕМЫЕ ФУНКЦИИ ПРОИЗВОДИТЕЛЬНОСТЬ 6-7 8 9 ВЫЧИСЛИТЕЛЬНЫЕ И ТЕЛЕКОММУНИКАЦИОННЫЕ РЕСУРСЫ ПЛАТФОРМЫ ИСПОЛНЕНИЯ ДОСТУПНОСТЬ ИСХОДНЫХ КОДОВ СОСТАВ База

Подробнее

«Информационная безопасность бизнеса и госструктур» 24 мая 2011, Москва

«Информационная безопасность бизнеса и госструктур» 24 мая 2011, Москва «Информационная безопасность бизнеса и госструктур» 24 мая 2011, Москва Безопасность информации при использовании современных информационных технологий в процессе предоставления государственных электронных

Подробнее

Руководство по установке SAP BusinessObjects Xcelsius 2008

Руководство по установке SAP BusinessObjects Xcelsius 2008 Руководство по установке SAP BusinessObjects Xcelsius 2008 Руководство по установке SAP BusinessObjects Xcelsius 2008 Авторские права 2009 SAP AG. Все права защищены.sap, R/3, SAP NetWeaver, Duet, PartnerEdge,

Подробнее

Руководство по установке программного обеспечения Снегирь. Сервер командной работы. radolet.ru

Руководство по установке программного обеспечения Снегирь. Сервер командной работы. radolet.ru Руководство по установке программного обеспечения Снегирь Сервер командной работы radolet.ru Продукт компании Радолёт Версия руководства от 03.11.2016 Оглавление Системные требования для установки Снегирь...

Подробнее

Атака «DNS Rebinding»

Атака «DNS Rebinding» Атака «DNS Rebinding» Positive Technologies Май, 2011 г. Same origin policy Суть механизма: Сценарий загруженный с сайта может отправлять полноценные запросы только к домену с которого он был загружен

Подробнее

Условия использования

Условия использования Условия использования 1 Право собственности на веб-сайт и согласие с условиями использования 1.1 Настоящие Условия использования относятся к веб-сайту https://shop.gamma.kz/ (Далее - Сайт), ко всем веб-сайтам,

Подробнее

Не рекомендуется виртуализация серверов SharePoint, на которых размещаются базы данных SQL для приложений.

Не рекомендуется виртуализация серверов SharePoint, на которых размещаются базы данных SQL для приложений. Технические требования к системе электронного документооборота Enterprise Office Solution for SharePoint (версия 4.1) Решение «EOS for SharePoint» является компонентом, реализованным на базе платформы

Подробнее

Платформа Virtual Registration Authority Hosting

Платформа Virtual Registration Authority Hosting Платформа Virtual Registration Authority Hosting sales@secomsoft.com www.secomsoft.com 2012 Security & Communications Software Inc. введение Последнюю версию этого документа вы можете найти по ссылке:

Подробнее

Описание сервиса: «Мособлако»

Описание сервиса: «Мособлако» Описание сервиса: «Мособлако» в рамках Cloud OS Network Russia Подготовлено совместно с: Электронная Москва Version 2.0 Final Подготовил: Василий Белов Belov@em.mos.ru При участии: Кирилл Котляренко Антон

Подробнее

Сканирование в электронную почту - настройка

Сканирование в электронную почту - настройка Краткое руководство по настройке функций сканирования XE3024RU0-2 Это руководство содержит инструкции: Сканирование в электронную почту - настройка на стр. 1 Настройка сканирования в почтовый ящик на стр.

Подробнее

Абсолютно надежной компьютерной защиты не существует, но средства защиты Access считаются одними из лучший для персональных компьютеров.

Абсолютно надежной компьютерной защиты не существует, но средства защиты Access считаются одними из лучший для персональных компьютеров. ЗАЩИТА БАЗЫ ДАННЫХ В MICROSOFT ACCESS Быстров А.В. Балаковский инженерно-технологический институт Национального. исследовательского ядерного университета "Московского инженернофизического института" Балаково,

Подробнее

SEL-3620 ШЛЮЗ БЕЗОПАСНОСТИ ETHERNET

SEL-3620 ШЛЮЗ БЕЗОПАСНОСТИ ETHERNET ШЛЮЗ БЕЗОПАСНОСТИ ETHERNET МОЩНЫЙ КОНТРОЛЬ ДОСТУПА В ПЕРИМЕТР ЭЛЕКТРОННОЙ ЗАЩИТЫ Реле SEL SEL-421 Последовательная связь Брандмауэр Шлюз безопасности Ethernet WAN Ethernet онтроллер втоматизации в ежиме

Подробнее

СИСТЕМА «ГАЛАКТИКА ERP» WINDOWS - ВЕРСИЯ. Рекомендуемые конфигурации программного окружения для эксплуатации системы

СИСТЕМА «ГАЛАКТИКА ERP» WINDOWS - ВЕРСИЯ. Рекомендуемые конфигурации программного окружения для эксплуатации системы СИСТЕМА «ГАЛАКТИКА ERP» WINDOWS - ВЕРСИЯ Рекомендуемые конфигурации программного окружения для эксплуатации системы РУКОВОДСТВО АДМИНИСТРАТОРА СИСТЕМЫ 2009 Аннотация Документ предназначен для системных

Подробнее

At a glance Cisco public

At a glance Cisco public Вместе лучше: управление инфраструктурой с помощью Cisco UCS и Cisco UCS Director Основные моменты Лучшее сочетание для вас На текущий момент для автоматизации управления инфраструктурой и оркестрации

Подробнее

Установка и настройка Windows Server 2012 R2 (20410)

Установка и настройка Windows Server 2012 R2 (20410) ID MS-20410 Цена 60 000,- руб. Длительность 5 дней Кому следует посетить Этот курс предназначен для IT-специалистов, желающих расширить свои знания и технические навыки по установке и настройке основных

Подробнее

Инструкции по установке IBM SPSS Modeler Server 18.0 для Windows IBM

Инструкции по установке IBM SPSS Modeler Server 18.0 для Windows IBM Инструкции по установке IBM SPSS Modeler Server 18.0 для Windows IBM Содержание Инструкции по установке....... 1 Системные требования........... 1 Установка............... 1 Назначение.............. 1

Подробнее

Система электронного документооборота (ЭДО)

Система электронного документооборота (ЭДО) Система электронного документооборота (ЭДО) Используемые термины и сокращения Введение Система ЭДО ЭДО - это система передачи электронных документов, в которую интегрированы: средства криптографической

Подробнее

Руководство по установке ВирусБлокАда

Руководство по установке ВирусБлокАда Антивирус / Антиспам Vba32 for Microsoft Exchange ВирусБлокАда Copyright 1993-2011 ОДО ВирусБлокАда. Версия документации: 0.5 (Март 2011) Все авторские права защищены. Всё содержание, графические и текстовые

Подробнее

Безопасная дорога в облака

Безопасная дорога в облака Безопасная дорога в облака Главный инженер департамента системной интеграции ООО «УЦСБ» Николай Домуховский www.ussc.ru 1 Какие две темы звучат сегодня весь день? BYOD Облако 18.02.2013 www.ussc.ru 2 Цена

Подробнее

Mimecast UEM for Microsoft Office 365

Mimecast UEM for Microsoft Office 365 UEM for Microsoft Office 365 Полностью интегрированное, облачное решение для безопасности, непрерывности и архивирования, которое обеспечивает улучшенную функциональность и расширяет возможности Microsoft

Подробнее

Web-заявки. Руководство инсталлятора и администратора 1. АПК «Бастион» Web-заявки. Руководство инсталлятора и администратора. Версия 2.1.

Web-заявки. Руководство инсталлятора и администратора 1. АПК «Бастион» Web-заявки. Руководство инсталлятора и администратора. Версия 2.1. Web-заявки. Руководство инсталлятора и администратора 1 АПК «Бастион» Web-заявки Руководство инсталлятора и администратора Версия 2.1.2 Web-заявки. Руководство инсталлятора и администратора 2 Оглавление

Подробнее

Преимущества. Защити созданное. Централизованно управляемая защита корпоративных сетей

Преимущества. Защити созданное. Централизованно управляемая защита корпоративных сетей Защити созданное Централизованно управляемая защита корпоративных сетей Преимущества Централизованное управление защитой критически важных компонентов локальной сети, включая рабочие станции Windows, файловые

Подробнее

ГНИВЦ ЭКСПРЕСС СКЭО. Версия 2.1 Общее описание. Листов 8

ГНИВЦ ЭКСПРЕСС СКЭО. Версия 2.1 Общее описание. Листов 8 Федеральное государственное унитарное предприятие Главный научно-исследовательский вычислительный центр Федеральной налоговой службы ГНИВЦ ЭКСПРЕСС СКЭО Версия 2.1 Общее описание Листов 8 2010 Аннотация

Подробнее

Облако под ключ новый взгляд. Andrey Nikolaev vspecialist

Облако под ключ новый взгляд. Andrey Nikolaev vspecialist Облако под ключ новый взгляд Andrey Nikolaev vspecialist Copyright Copyright 2013 EMC 2014 Corporation. EMC Corporation. All rights All rights reserved. reserved. 1 Программное обеспечение переопределяет

Подробнее

«Администрирование баз данных (Microsoft SQL Server)» 2

«Администрирование баз данных (Microsoft SQL Server)» 2 «Администрирование баз данных (Microsoft SQL Server)» 2 1. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОГРАММЫ Данная дополнительная профессиональная программа разработана в соответствии с ФГОС по специальности СПО 230000

Подробнее

RL CL G ИНСТРУКЦИЯ ПО ЭКСПЛУАТАЦИИ

RL CL G ИНСТРУКЦИЯ ПО ЭКСПЛУАТАЦИИ Объединение локальных сетей офиса и филиалов. Организация доступа пользователей из дома к корпоративной локальной сети. Безопасная передача трафика между сетями. Мониторинг и управление с мобильного устройства

Подробнее

Сертификаты единой точки входа (SSO) Унифицированного предприятия Contact Center (UCCE) и конфигурация

Сертификаты единой точки входа (SSO) Унифицированного предприятия Contact Center (UCCE) и конфигурация Сертификаты единой точки входа (SSO) Унифицированного предприятия Contact Center (UCCE) и конфигурация Содержание Введение Требования Используемые компоненты Часть А. Поток сообщений SSO Часть Б. Сертификаты,

Подробнее

Центр ярлыков. Версия 5.1. Руководство администратора

Центр ярлыков. Версия 5.1. Руководство администратора Центр ярлыков Версия 5.1 Руководство администратора Август 2017 г. www.lexmark.com Содержимое 2 Содержимое История изменений... 3 Общие сведения... 4 Настройка параметров принтера...5 Доступ к Embedded

Подробнее

Классификация полномочий. Приложение к документации ViPNet

Классификация полномочий. Приложение к документации ViPNet Классификация полномочий Приложение к документации ViPNet 1991 2016 ОАО «ИнфоТеКС», Москва, Россия ФРКЕ.00068-05 90 04 Этот документ входит в комплект поставки программного обеспечения, и на него распространяются

Подробнее

Архитектура автоматизированной системы сбора статистики событий в распределенной информационной системы ZooSPACE. Введение. Функциональность системы.

Архитектура автоматизированной системы сбора статистики событий в распределенной информационной системы ZooSPACE. Введение. Функциональность системы. Архитектура автоматизированной системы сбора статистики событий в распределенной информационной системы ZooSPACE. Жижимов О.Л. *, Турчановский И.Ю. *, Паньшин А.А. **, Чудинов С.А. ** * Институт вычислительных

Подробнее

ViPNet Administrator 4. Быстрый старт

ViPNet Administrator 4. Быстрый старт ViPNet Administrator 4 Быстрый старт 1991 2016 ОАО «ИнфоТеКС», Москва, Россия ФРКЕ.00109-07 34 01 Этот документ входит в комплект поставки программного обеспечения, и на него распространяются все условия

Подробнее

DELL EMC ANALYTIC INSIGHTS MODULE

DELL EMC ANALYTIC INSIGHTS MODULE СЛОЖНОСТИ Методом проб и ошибок компании ищут, как извлечь из данных преимущества для бизнеса, чтобы ускорить принятие оптимальных решений. РЕШЕНИЕ Analytic Insights Module позволяет бизнес-пользователям

Подробнее

Программное обеспечение. Программное обеспечение компьютера

Программное обеспечение. Программное обеспечение компьютера Программное обеспечение Программное обеспечение компьютера В 50-60-е годы когда компьютер еще назывался ЭВМ (электронно-вычислительная машина), он мог только вычислять. Процесс обработки информации состоял

Подробнее

ТРИНИТИ программно-аппаратный комплекс

ТРИНИТИ программно-аппаратный комплекс ТРИНИТИ программно-аппаратный комплекс ПРЕИМУЩЕСТВА ТЕРМИНАЛЬНОГО ДОСТУПА Дмитрий Огородников Заместитель генерального директора d_ogorodnikov@setec.ru 2 Ключевые особенности терминального доступа Централизация

Подробнее

доцент кафедры «Математического и аппаратного обеспечения информационных систем» Чувашский государственный университет Россия, Чебоксары

доцент кафедры «Математического и аппаратного обеспечения информационных систем» Чувашский государственный университет Россия, Чебоксары УДК 004.41 Ильин Д.В. доцент кафедры «Математического и аппаратного обеспечения информационных систем» Чувашский государственный университет Россия, Чебоксары ПРОГРАММНО-АППАРАТНОЕ РЕШЕНИЕ ДЛЯ ЗАЩИТЫ БАЗЫ

Подробнее

Системные требования для Qlik Sense. Qlik Sense 3.2 Copyright QlikTech International AB. Все права защищены.

Системные требования для Qlik Sense. Qlik Sense 3.2 Copyright QlikTech International AB. Все права защищены. Системные требования для Qlik Sense Qlik Sense 3.2 Copyright 1993-2017 QlikTech International AB. Все права защищены. QlikTech International AB 1993-2017. Все права защищены. Qlik, QlikTech, Qlik Sense,

Подробнее

ГНИВЦ ЭКСПРЕСС СКЭО. Версия 2.1 Руководство по установке. Листов 13

ГНИВЦ ЭКСПРЕСС СКЭО. Версия 2.1 Руководство по установке. Листов 13 Федеральное государственное унитарное предприятие Главный научно-исследовательский вычислительный центр Федеральной налоговой службы ГНИВЦ ЭКСПРЕСС СКЭО Версия 2.1 Руководство по установке Листов 13 2010

Подробнее

Решения для резервного копирования

Решения для резервного копирования Решения для резервного копирования Сравнение Backup это семейство продуктов, предназначенных для защиты всех типов корпоративных данных независимо от их расположения. Они актуальны для локальных или удаленных

Подробнее

ЗНАКОМСТВО С WINDOWS AZURE

ЗНАКОМСТВО С WINDOWS AZURE ЗНАКОМСТВО С WINDOWS AZURE ДЭВИД ЧЕППЕЛ (DAVID CHAPPELL) ОКТЯБРЬ 2010 Г. ПРИ ПОДДЕРЖКЕ КОРПОРАЦИИ MICROSOFT СОДЕРЖАНИЕ Обзор Windows Azure... 2 Вычисления... 4 Хранилище... 6 Fabric Controller... 8 Сеть

Подробнее

Система автоматизации деятельности саморегулируемых организаций «Granite» обзор решения

Система автоматизации деятельности саморегулируемых организаций «Granite» обзор решения ООО "Инфосистемы ВР" Система автоматизации деятельности саморегулируемых организаций «Granite» обзор решения 2012 w w w. i n f o s y s t e m s - v r. r u, и н ф о с и с т е м ы - в р. р ф I. ИНФОРМАЦИЯ

Подробнее

Инструкция по установке Портала управления Security Vision

Инструкция по установке Портала управления Security Vision Инструкция по установке Портала управления Security Vision Оглавление Общие сведения... 2 Системные требования... 4 Установка Портала... 5 1 Общие сведения Портал Security Vision представляет собой web-приложение

Подробнее