Рекомендации по обеспечению безопасности при разработке приложений Windows Azure

Размер: px
Начинать показ со страницы:

Download "Рекомендации по обеспечению безопасности при разработке приложений Windows Azure"

Транскрипт

1 Рекомендации по обеспечению безопасности при разработке приложений Windows Azure Авторы Эндрю Маршал (Andrew Marshall), старший менеджер программы безопасности, инженер по безопасности Майкл Говард (Michael Howard), руководитель программы безопасности, инженер по безопасности Грант Багер (Grant Bugher), ведущий менеджер программы безопасности, OSSC Брайан Харден (Brian Harden), архитектор систем безопасности, OSSC Соавторы Чарли Кауфман (Charlie Kaufman), главный архитектор Мартин Рус (Martin Rues), директор, OSSC Витторио Бертоцци (Vittorio Bertocci), старший технический евангелист, разработчик и евангелист платформы Июнь 2010 Г. (РЕД. 2)

2 Вся информация в данном документе отражает точку зрения корпорации Microsoft на освещаемые в документе вопросы на дату публикации документа. Поскольку корпорация Microsoft должна реагировать на изменяющиеся условия рынка, ничто в этом документе не может расцениваться как обязательства Microsoft. Это означает, что корпорация Microsoft не может гарантировать точность какой-либо информации, представленной в данном документе, после даты публикации. Настоящий технический документ носит исключительно информационный характер. КОРПОРАЦИЯ MICROSOFT НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДУСМОТРЕННЫХ ЗАКОНОМ, ОТНОСИТЕЛЬНО СВЕДЕНИЙ, СОДЕРЖАЩИХСЯ В ДАННОМ ДОКУМЕНТЕ. Соблюдение всех применимых законов об авторских правах является обязанностью пользователя. Без ограничения вышеуказанных авторских прав данный документ не подлежит частичному воспроизведению, хранению либо вводу в какую-либо систему автоматического поиска, а также передаче в каком-либо виде, каким-либо способом (электронным, механическим способом, фотокопированию, записи или иным действиям) и в каких-либо целях без предварительного письменного согласия корпорации Microsoft. Владельцем патентов, патентных заявок, торговых марок, авторских прав либо других прав интеллектуальной собственности, относящихся к предмету данного документа, является корпорация Microsoft. За исключением прямых положений каких-либо письменных лицензий, выданных корпорацией Microsoft, предоставление данного документа не означает предоставления каких-либо лицензий на вышеуказанные патенты, торговые марки, авторские права или другую интеллектуальную собственность. Корпорация Microsoft, 2010 г. Все права сохранены. Microsoft, Active Directory, Hyper-V, SQL Azure, Visual Basic, Visual C++, Visual C#, Visual Studio, Windows, Windows Azure, Windows Live и Windows Server являются зарегистрированными торговыми марками или торговыми марками корпорации Microsoft на территории США и/или других стран. Названия существующих компаний и продуктов, упомянутые в настоящем документе, могут быть зарегистрированными торговыми марками.

3 Содержание СОДЕРЖАНИЕ... 3 РЕЗЮМЕ... 5 ЦЕЛЕВАЯ АУДИТОРИЯ... 5 ОБЗОР СЛУЖБ БЕЗОПАСНОСТИ ПЛАТФОРМЫ WINDOWS AZURE... 6 УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И КОНТРОЛЬ ДОСТУПА... 6 ПЛАТФОРМА WINDOWS IDENTITY FOUNDATION... 7 ACTIVE DIRECTORY FEDERATION SERVICES СЛУЖБА УПРАВЛЕНИЯ ДОСТУПОМ APPFABRIC ПЛАТФОРМЫ WINDOWS AZURE... 8 ПРОЕКТИРОВАНИЕ БЕЗОПАСНЫХ СЛУЖБ WINDOWS AZURE... 8 РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ УРОВНЯ СЛУЖБ WINDOWS AZURE... 9 Проблемы настройки пространства имен Безопасность данных Работа с секретной информацией Аудит и журналирование Регулирование скорости отправки запросов и применение ограничений на данные полей СРЕДСТВА БЕЗОПАСНОСТИ WINDOWS AZURE ДЛЯ УРОВНЕЙ ПЛАТФОРМЫ И ИНФРАСТРУКТУРЫ Сканирование портов и перечисление служб «Отказ в обслуживании» Спуфинг Прослушивание канала и перехват пакетов Поддержка нескольких арендаторов и атаки по сторонним каналам Внешняя проверка Безопасность среды выполнения: разделение ролей и прав процессов в системе полного доверия и сравнение с системой частичного доверия в среде Windows Azure ПОДВОДЯ ИТОГИ: РАЗРАБОТКА БОЛЕЕ БЕЗОПАСНЫХ ПРИЛОЖЕНИЙ WINDOWS AZURE ИЗОЛЯЦИЯ ВЕБ-РОЛЕЙ И РАЗДЕЛЕНИЕ ОБЯЗАННОСТЕЙ ОТДЕЛЬНЫХ РОЛЕЙ ДЛЯ МАКСИМАЛЬНОГО ИСПОЛЬЗОВАНИЯ МОДЕЛИ ЧАСТИЧНОГО ДОВЕРИЯ WINDOWS AZURE ИСПОЛЬЗОВАНИЕ ШАБЛОНА ПРОЕКТИРОВАНИЯ GATEKEEPER ДЛЯ РАЗДЕЛЕНИЯ ОБЯЗАННОСТЕЙ РОЛЕЙ И ИЗОЛЯЦИИ ОБЪЕКТОВ С ПРИВИЛЕГИРОВАННЫМ ДОСТУПОМ ЕСЛИ НЕВОЗМОЖНО ПРИМЕНИТЬ РОЛЬ GATEKEEPER, ИСПОЛЬЗУЙТЕ НЕСКОЛЬКО КЛЮЧЕЙ ХРАНИЛИЩА ДЛЯ ОГРАНИЧЕНИЯ ДОСТУПА К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРИМЕНЕНИЕ МЕТОДОВ SDL ПРИ РАЗРАБОТКЕ ПРИЛОЖЕНИЙ ДЛЯ WINDOWS AZURE ОБУЧЕНИЕ И ОБМЕН ИНФОРМАЦИЕЙ ПО ВОПРОСАМ БЕЗОПАСНОСТИ МЕТОДЫ РАЗРАБОТКИ БЕЗОПАСНЫХ ПРИЛОЖЕНИЙ ДЛЯ ПЛАТФОРМЫ WINDOWS AZURE ПРОВЕРКА И ВЫПУСК ЗАКЛЮЧЕНИЕ... 21

4 ДОПОЛНИТЕЛЬНЫЕ РЕСУРСЫ ПРИЛОЖЕНИЕ А. ГЛОССАРИЙ ПРИЛОЖЕНИЕ Б. МАТРИЦА УГРОЗ БЕЗОПАСНОСТИ ПРИ РАЗВЕРТЫВАНИИ ПРИЛОЖЕНИЙ НА ПЛАТФОРМЕ WINDOWS AZURE ПРИЛОЖЕНИЕ В. ВЫДЕРЖКА ИЗ СПРАВОЧНИКА ПО ПОЛИТИКЕ ЧАСТИЧНОГО ДОВЕРИЯ WINDOWS AZURE 29 ПРИЛОЖЕНИЕ Г. ИСПОЛЬЗОВАНИЕ КРИПТОГРАФИЧЕСКИХ МЕТОДОВ SDL В ПРИЛОЖЕНИЯХ WINDOWS AZURE... 31

5 Резюме Стремление компаний использовать эффективные ИТ-сервисы повышает интерес к переносу вычислительных мощностей с локального оборудования в интернет-системы, часто называемые облаками. Технологию облачных вычислений могут использовать не только крупные предприятия; компании малого бизнеса также способны извлечь большую выгоду из переноса вычислительных ресурсов и систем хранения данных в облачные среды, такие как Windows Azure. В действительности компании небольшого размера внедряют эту новую парадигму быстрее крупных компаний 1. Идея приобретения услуг у поставщика услуг доступа к облачной среде кажется весьма привлекательным деловым предложением она открывает для предприятий возможности экономии денежных средств и позволяет им сосредоточиться на своем основном бизнесе. Многие аналитики рассматривают новые возможности ценообразования и оказания услуг через Интернет как разрушительный фактор для текущего состояния рынка. Исследования рынка и последовавший за ними диалог между потенциальными клиентами и поставщиками услуг позволили выявить часто встречающиеся темы обсуждений и потенциальные преграды для быстрого внедрения облачных служб. Например, руководители предприятий хотят знать, как в облачной среде Microsoft Cloud Computing решаются ключевые вопросы безопасности, конфиденциальности и надежности; они также озабочены влиянием внедрения облачных служб на их решения, связанные с оценкой рисков и операционной деятельностью. В этом документе рассматриваются трудные задачи обеспечения безопасности и приводятся рекомендуемые подходы к проектированию и разработке безопасных предложений для платформы Windows Azure от Microsoft. Центр инженеров по безопасности Microsoft Security Engineering Center (MSEC) и группа специалистов Online Services Security & Compliance (OSSC) корпорации Microsoft совместно с группой разработчиков Windows Azure реализовали в этой среде все принципы и процедуры обеспечения безопасности, разработанные корпорацией Microsoft в течение многих лет управления рисками безопасности в традиционных средах разработки и операционной деятельности. Целевая аудитория Этот документ составлен для предоставления информации техническим специалистам: проектировщикам программного обеспечения, архитекторам, разработчикам и тестировщикам, которые занимаются проектированием, разработкой и развертыванием безопасных решений на базе Windows Azure. Документ поделен на два раздела 2 : 1 Cloud Computing: Small Companies Take Flight («Облачные вычисления: шаг вперед для малого бизнеса»), журнал BusinessWeek, 2 Необходимо отметить, что термины «функции безопасности» и «безопасные функции» различны по смыслу. «Функции безопасности» это технологии, такие как проверка подлинности или шифрование, обеспечивающие защиту системы и хранимых в ней данных. «Безопасные функции» это устойчивые к атакам технологии, такие как хранилище ключей шифрования, функции управления или программный код, не содержащие известных уязвимостей.

6 Обзор служб безопасности, реализованных на платформе Windows Azure, а также Рекомендации по проектированию, разработке и развертыванию безопасных приложений: Аспекты безопасности проектирования уровня служб и безопасности приложения. Функции защиты, реализованные в платформе Azure и базовой сетевой инфраструктуре. Шаблоны проектирования служб, устойчивых к атакам или выполняемых с пониженными привилегиями. Обзор служб безопасности платформы Windows Azure В следующих разделах описаны некоторые из служб и функций безопасности данной платформы, доступные разработчикам для создания приложений на базе Windows Azure. Управление идентификацией и контроль доступа Управление идентификацией становится все более сложной задачей для разработчиков, приоритетность которой не снижается даже при изменении структуры вычислительных сетей компаний. Основной задачей управления идентификацией является не только предотвращение доступа неавторизованных третьих лиц к данным, но и управление авторизованным использованием данных. Управление идентификацией позволяет системе контролировать объем и тип данных, доступных для пользователей, а также гарантировать, что пользователи выполняют необходимые функции с наиболее низким из возможных уровнем привилегий. Задача управления идентификацией также критически важна для поддержания разделения ролей и обязанностей, что в некоторых случаях может потребоваться для обеспечения нормативно-правового соответствия. Современные разработчики сталкиваются с одной и той же задачей: предоставление авторизованным пользователям, клиентам и системам доступа к необходимым данным в любое время и из любой точки, с помощью любой технологии и при полном соблюдении основных требований безопасности, связанных с обеспечением конфиденциальности, доступности и целостности. С первого взгляда может показаться, что технология облачных вычислений не подходит или весьма неудобна для обеспечения соответствия столь жестким стандартам: разработчики стремятся ограничить доступ к данным, существующим в сравнительно неконтролируемой среде (облаке), причем эти данные могут быть смешаны с ресурсами, владельцами которых являются другие пользователи. Несмотря на то что подобная озабоченность имеет под собой рациональные основания, ее можно с легкостью развеять с помощью применения идентификации на основе утверждений. Идентификация на основе утверждений представляет собой один из подходов к проверке подлинности и управлению доступом, основанный на открытых протоколах и позволяющий создать стратегию управления доступом, единообразно применяемую во всем спектре продуктов и услуг Microsoft. Одной из основных особенностей идентификации на основе утверждений является снижение зависимости от инфраструктуры, поскольку приложения с поддержкой этой функции можно размещать как локально, так и в облаке, без внесения в них каких-либо изменений. Приложения, предназначенные для работы в среде Windows Azure, могут использовать те же средства разработки, возможности идентификации на основе утверждений и службы, что и локально размещаемые приложения. Ниже приведен список наиболее удобных технологий и служб идентификации, обеспечивающих защиту приложений и ресурсов в среде Windows Azure.

7 Платформа Windows Identity Foundation Active Directory Federation Services 2.0 Служба Windows Azure Access Control Платформа Windows Identity Foundation Платформа Windows Identity Foundation (WIF) представляет собой новейшую фундаментальную технологию, реализованную в среде.net Framework. Она позволяет разработчикам приложений в среде.net убирать логику идентификации из приложения, что обеспечивает реализацию стройной модели разработки, основанной на разделении областей контроля. Неспециалисты получают возможность легко и просто защищать свои приложения, не вдаваясь в тонкости сложных криптографических систем и протоколов, пользоваться функциями интеграции Visual Studio, такими как мастера настройки с графическим интерфейсом, что позволяет создавать приложения на основе открытых и совместимых стандартов (например, WS-Federation и WS-Trust). Несмотря на простоту использования этой модели программирования, которая объединяет в себе вебприложения ASP.NET и службы WCF SOAP (Windows Communication Foundation) в рамках одной объектной модели, платформа Windows Identity Foundation оснащена полным спектром функций безопасности, предлагаемых WS-Security, поддерживает формат маркеров SAML и множество других отраслевых стандартов корпоративного класса. При использовании платформы Windows Identity Foundation механизмы аутентификации предоставляются внешними службами с использованием платформо-независимых протоколов. Приложение получает информацию об аутентифицированных пользователях в виде утверждений, которые могут использоваться для реализации любых способов доступа от простого и традиционного управления доступом на основе ролей (RBAC) до сложных политик управления доступом. Использование открытых стандартов позволяет выполнять проверку подлинности независимо от места размещения учетных записей пользователя или самого приложения: в результате обеспечивается простая реализация единого входа (SSO) для приложений в среде Windows Azure и локальных приложений. Несмотря на то что службы аутентификации могут предоставляться на базе любой платформы, соответствующей открытым стандартам Windows Identity Foundation, лучшим способом использования существующих инвестиций в инфраструктуру Windows является применение служб Active Directory Federation Services 2.0 для решения всех задач, связанных с проверкой подлинности. Active Directory Federation Services 2.0 Несмотря на то что технология Active Directory Federation Services 2.0 (AD FS 2.0) поддерживает локальное развертывание, она способна играть ключевую роль в поддержке проверки подлинности для приложений Windows Azure. AD FS 2.0 представляет собой роль Windows Server, которая расширяет функциональные возможности Active Directory (AD) за счет поддержки идентификации на основе утверждений. AD FS 2.0 позволяет AD поддерживать службу Security Token Service (STS), представляющую собой единый интерфейс проверки подлинности, с помощью которого пользователи могут выполнять вход в приложения независимо от их размещения в центре обработке данных, на площадке партнера или в облаке. Это позволяет пользователям не зависеть от ограничений, связанных с возможностями их локальных сетей: если приложение, размещенное в Windows Azure, разработано с использованием платформы Windows Identity

8 Foundation (или эквивалентного стека, поддерживающего те же самые открытые стандарты), то служба AD FS 2.0 позволяет оперативно предоставить любому пользователю с учетной записью в локальном каталоге доступ к этому приложению. Эта процедура не требует никакой синхронизации, создания новой учетной записи или дублирования имеющейся. Служба AD FS 2.0 обеспечивает создание и поддержку отношений доверия с федеративными партнерами, упрощая доступ к ресурсам и распределенный единый вход. В службе AD FS 2.0 реализованы такие стандарты, как WS-Trust, WS-Federation и протокол SAML, она успешно прошла недавние публичные тесты на совместимость под названием Liberty Alliance SAML 2.0, которые подтвердили совместимость этой службы в стандартной конфигурации с продуктами IBM, Novell, Ping Identity, SAP, Siemens и многих других компаний. Служба управления доступом AppFabric платформы Windows Azure Служба AppFabric Access Control (AC) платформы Windows Azure представляет собой базовую службу, обеспечивающую для веб-служб REST Web поддержку централизованной проверки подлинности и авторизации на основе утверждений и правил. Веб-службы REST Web могут использовать AC для реализации упрощенных сценариев проверки имени пользователя и пароля, в дополнение к сценариям корпоративной интеграции, которые предусматривают использование Active Directory Federation Services 2.0. Приложения, использующие доступ к веб-службам REST, могут пользоваться возможностями AC независимо от места своего размещения (локально, на платформе Windows Azure или на любом компьютере с подключением к Интернету). Служба AC дает возможность клиентам обеспечить полноценный перенос политик авторизации за пределы приложения, что позволяет убрать из приложений большую часть логики авторизации путем ее переноса в службы AC, где она принимает вид правил преобразования утверждений. Службы AC используют протокол OAuth Web Resource Authorization Protocol (OAuth WRAP), который отличается низкими требованиями к системным ресурсам и позволяет реализовать идентификацию на основе утверждений с помощью API веб-служб REST, не предъявляя высоких требований к производительности компьютеров клиентов и поставщиков услуг. Это обеспечивает беспрецедентную распространенность протокола, который используется в самых разных типах устройств и стеках обмена данными, где требуется реализация безопасных транзакций. Протокол OAuth WRAP служит фундаментом готовящейся к выпуску спецификации протокола Oauth 2.0, который в свою очередь послужит фундаментом для объединения конкурирующих подходов, продвигаемых основными игроками этого рынка. Службы AC также способны играть роль моста между корпоративными системами идентификации и вебслужбами REST, благодаря встроенной поддержке маркеров SAML, создаваемых экземпляром AD FS 2.0 для доступа к веб-службам REST по протоколу OAuth WRAP. В перспективных выпусках AC будет реализована поддержка протоколов, неотъемлемой частью которых являются WIF и ADFS 2.0, что обеспечит простоту интеграции решений на основе этих технологий. Проектирование безопасных служб Windows Azure При разработке облачных решений проектировщикам ПО и разработчикам намного важнее предусмотреть возможные угрозы еще на этапе проектирования, чем при разработке традиционного

9 коробочного ПО, предназначенного для развертывания на серверах в корпоративном центре обработки данных. В этом разделе описываются некоторые из угроз, которые обязаны устранять разработчики при проектировании ПО для облачной среды, а также описываются встроенные средства Windows Azure для защиты от большого числа угроз, связанных с атаками на уровни службы, платформы и инфраструктуры. Рекомендации по обеспечению безопасности уровня служб Windows Azure Ландшафт угроз, ориентированных на облачные веб-службы, заметно отличается от аналогичных угроз традиционным веб-службам в части инструментов и технологий устранения подобных угроз. Угрозы также значительно варьируются в зависимости от поставщика услуг доступа к облачной среде. В Приложении Б приведена матрица угроз безопасности для Windows Azure. Эту матрицу можно использовать для выявления угроз безопасности, имеющих наибольшую важность для приложения. Необходимо выделить следующие основные аспекты: Разработчики обязаны сопоставить традиционные требования к безопасности локальных корпоративных приложений, которые относятся к их приложению, с возможностями служб Windows Azure, предоставляющих аналогичные функции обеспечения безопасности. Любые возможные угрозы должны снижаться самим приложением или соответствующей службой. Обратитесь к приложению Б для получения подробной информации о способах снижения угроз. Понимание требований безопасности, предъявляемых к разрабатываемой или переносимой службе, особенно в контексте решения задач проверки подлинности, авторизации и аудита. Службы платформы, обеспечивающие предоставление этих служб (Windows Identity Foundation, Windows Azure AppFabric Access Control Service, Windows Azure Monitoring и API диагностики), и методы, используемые разработчиками для их вызова, значительно различаются от тех, которые содержатся в локально развертываемых корпоративных системах (Kerberos, Active Directory, журналы событий Windows). Для создания более безопасных приложений необходимо использовать службы платформы Windows Azure. Несмотря на то что перенос приложения в облако обеспечивает повышенный уровень защиты, разработчики все равно обязаны писать хороший программный код и обеспечивать безопасность своих приложений в тех ситуациях, когда угрозы связаны с программным кодом самой веб-службы. Составление, применение и проверка ограничений на данные полей для ввода по-прежнему остаются важнейшими способами защиты веб-приложения, независимо от того, размещено ли это приложение в облаке. Платформа Windows Azure поддерживает роли веб-приложения в Internet Information Services 7 Hosted Web Core. Поскольку среда IIS7 поддерживает высокий уровень безопасности даже в конфигурации по умолчанию, разработчики могут использовать базовые средства защиты в среде IIS7, например, параметр конфигурации ValidateRequest. Разработчики обязаны снижать уровень опасности атак, использующих межсайтовые сценарии, применяя шифрование и проверку входных данных своих служб с помощью библиотеки Microsoft Anti- Cross-Site-Scripting или схожих библиотек, особенно если результат ввода данных отображается пользователю на веб-страницы. Уровень опасности атак, в которых применяется подделка межсайтовых запросов (CSRF), также необходимо снижать путем создания скрытого маркера сеанса в клиентских запросах и присвоения параметру Page.ViewStateUserKey идентификатора текущего сеанса.

10 Проблемы настройки пространства имен Ниже приведены некоторые проблемы настройки облачной среды, о которых вам необходимо знать. Избегайте использования доменного имени вида *имя_службы*.cloudapp.net, вместо него применяйте пользовательское имя домена. Между корпоративной средой и облаком существует важное различие пространство имен в cloudapp.net является общим для всех клиентов, использующих платформу Azure, в то время как владельцем и распорядителем пространства имен Microsoft.com является только корпорация Microsoft. Это означает, что пространство имен cloudapp.net по умолчанию имеет более низкий уровень доверия, чем пространство имен домена отдельно взятого предприятия, поскольку каждый из клиентов Windows Azure не распространяет свое доверие на остальных клиентов в пространстве имен этого домена. Не создавайте программный код, для использования которого пользователям понадобится вносить домен cloudapp.net в список доверенных сайтов веб-браузера. Не создавайте файлы cookie или записи вида document.domain, область действия которых охватывает весь домен cloudapp.net. Вместо этого ограничьте их область действия служебным поддоменом (например, contoso.cloudapp.net или, что еще лучше, Для большей части содержимого взаимодействие с другим содержимым разрешено только в рамках одного и того же домена. Например, стандартная страница на веб-сайте может беспрепятственно использовать в своих сценариях любое содержимое других страниц веб-сайта но не сможет делать это в отношении веб-страниц, относящихся к другим доменам. Для принудительной реализации этого ограничения в объектной модели DHTML Object Model используется свойство document.domain. Свободное взаимодействие допускается только между страницами, доменные свойства которых идентичны. Указанные в URL-адресе протоколы доступа также должны совпадать. Например, веб-страница с доступом по протоколу HTTP не может получать доступ к содержимому, которое размещено на веб-страницах с доступом по протоколу HTTPS. Важно. Любая попытка включить другие домены в свойство document.domain может привести к тому, что служба окажется открытой для атак с использованием сценариев со стороны любого веб-сайта, входящего в пространство имен cloudapp.net. В среде IIS7 свойство document.domain по умолчанию настроено для включения всех поддоменов (например, contoso.cloudapp.net или но разработчики веб-приложений настолько часто изменяют область действия этого свойства, что оно заслуживает отдельного упоминания. Безопасность данных При проектировании способов взаимодействия веб-роли с хранилищем данных Windows Azure можно использовать развитые возможности сигнатур совместного доступа. Сигнатуры совместного доступа представляют собой маркеры доступа, служащие для предоставления прав доступа к тем BLOB-данным или контейнерам с BLOB-данными, которые не являются общедоступными. Поскольку веб-приложения обязаны генерировать эти маркеры самостоятельно, на них также возлагается задача безопасного распространения маркеров. В случае компрометации одного из маркеров разработчики могут либо обновить метаданные, связанные с BLOB-данными или контейнером данных, чтобы сделать маркер недействительным, либо создать новый контейнер для BLOB-данных. Однако подобные действия могут служить только мерой реагирования, которую предпринимают уже после того, как возможный вред нанесен. Ниже приведены руководящие указания по минимизации риска при использовании сигнатур совместного доступа. Предоставляя доступ доверенной стороне, создавайте сигнатуры совместного доступа с использованием наиболее строгих списков ACL из всех возможных.

11 Устанавливайте для этих записей самое короткое время жизни. Используйте протокол HTTPS в URL-адресе запроса, чтобы защитить маркер от перехвата при передаче через сеть. Помните, что эти маркеры можно использовать только для предоставления временного доступа к хранилищу BLOB-данных, которое не является общедоступным. Как и пароли, не следует использовать одни и те же маркеры несколько раз подряд. Хранилище таблиц Windows Azure представляет собой простую среду структурированного хранения данных, для создания которой не применялся SQL, поэтому использующие ее приложения защищены от стандартных уязвимостей, связанных с SQL-инъекциями. Однако приложения, использующие SQL Azure или другие службы реляционных СУБД, все равно должны содержать средства снижения рисков, связанных с SQL-инъекциями. Запросы к хранилищу таблиц выполняются либо напрямую, с помощью методов GET или POST протокола HTTP, либо же преобразуются в подобные запросы с помощью SDK и LINQ. Поскольку HTTPзапрос представляет собой текст, если эта строка запроса составляется на основе данных пользователей, то строки пользователей способны изменять семантику запроса (например, путем вставки символов перевода строки или &). Чтобы избежать атак на основе инъекций, не применяйте данные пользователей в именах контейнеров, BLOB-объектов, в именах блоков и в идентификаторах блоков, а также в именах таблиц. При создании REST-запроса, в который должны войти пользовательские данные, обеспечьте их безопасность путем шифрования URL-адреса перед его объединением с запросом. Работа с секретной информацией В настоящее время хранилище Windows Azure Storage не поддерживает средства сохраняемости, схожие с теми, что реализованы в API защиты данных (DPAPI). Если службе необходимо шифровать секретные данные, хранящиеся в Windows Azure Storage, то следует выполнять эту операцию вне площадки хранения и перед загрузкой зашифрованных данных в хранилище BLOB-объектов. Эта процедура упрощается при использовании ключа AES, сгенерированного на клиентском компьютере или в любой другой вычислительной системе предприятия. Разработчики также не должны передавать этот ключ или любые материалы, связанные с его созданием, в среду Windows Azure Storage, независимо от того, насколько тщательные меры приняты для скрытия подобных материалов от посторонних. В случае компрометации любого компьютера или хранилища данных это может привести к раскрытию ключей сторонним лицам. Microsoft рекомендует использовать 256-битные ключи AES для поддержки симметричного шифрования. Разработчики также не должны хранить в Windows Azure Storage частные ключи, связанные с сертификатами SSL или TLS. Вместо этого их необходимо загружать посредством портала для разработчиков и использовать с помощью ссылок на маркеры сертификатов, которые доступны в средстве настройки служб. Windows Azure не только всегда хранит эти сертификаты в зашифрованном состоянии, но также обеспечивает их безопасную передачу в хранилища сертификатов соответствующей веб-роли службы после загрузки. Разработчикам не следует пытаться перемещать сертификаты для хранения в какие-либо другие местоположения, поскольку подобные действия равнозначны попытке заново изобрести технологию защиты, которая уже поддерживается платформой. Образец программного кода, демонстрирующего процедуру установки сертификатов в Windows Azure, доступен по адресу

12 Приложение Г содержит рекомендации по использованию криптографических средств. Аудит и журналирование Доступ локальной виртуальной машины к диску с помощью ролей Windows Azure является временной мерой, недостаточно надежной для решения каких-либо иных задач, кроме хранения временных файлов и кэширования. В среде Windows Azure события не записываются в соответствующие журналы приложений, безопасности и аудита, как в случае использования серверов Windows. Вместо этого агент отслеживания и диагностики размещает в хранилище Windows Azure данные журналов, получаемые от прослушивателей трассировок в коде веб-приложений. Затем агент отслеживания перемещает эти журналы на долговременное хранение в Windows Azure Storage, опираясь на расписания передачи данных. Табличное хранилище Windows Azure Table Storage используется для журналирования некоторых типов событий, включая журналы событий и диагностики Windows, журналы Windows Azure Logs и счетчики производительности. В настоящее время Windows Azure не поддерживает функцию шифрования статических данных, поэтому разработчики не должны записывать конфиденциальную информацию в события, хранимые в Windows Azure Table Storage. Обратитесь к разделу «Работа с секретной информацией» на стр. 8 для получения дополнительной информации о шифровании конфиденциальных данных. Разработчики должны выбрать используемый протокол (HTTP или HTTPS) с учетом содержимого журналов. Если приложение выполняет запись больших объемов данных, которые позже не заинтересуют никаких внешних получателей или специалистов по добыче чужой информации, то можно использовать протокол HTTP для более быстрой передачи. Однако Microsoft рекомендует защищать все передаваемые в Windows Azure Storage данные журналов с помощью протокола HTTPS. Регулирование скорости отправки запросов и применение ограничений на данные полей Если приложение должно выполнять какие-либо сложные и затратные по времени операции, разработчики обязаны предусмотреть встроенное средство регулирования скорости получения запросов. Также важно проверять новые синтаксические анализаторы, развертываемые в рамках веб-службы, подавая им на вход случайные данные. Портал для разработчиков систем безопасности Microsoft Security Development Lifecycle (SDL), расположенный по адресу содержит необходимые материалы по проверке синтаксических анализаторов с помощью случайных данных. Если служба проводит синтаксический анализ файла или запроса в проприетарном формате (например, если он инкапсулирован в HTTP-запрос), то испытание случайными данными необходимо для проверки того, сможет ли программный код правильно обработать неверные входные данные. Если говорить в общем, то успешное 24-часовое тестирование веб-службы в подобном режиме является хорошим признаком устойчивости системы к возможным угрозам. За этот период автоматизированная платформа тестирования передачей случайных данных способна подать на вход веб-службы итераций данных по каждому из новых форматов или протоколов. Тестирование случайными данными является одним из современных требований Microsoft к обычному «коробочному» ПО. Средства безопасности Windows Azure для уровней платформы и инфраструктуры В этом разделе дается общий обзор угроз безопасности, которые вместо разработчиков ПО снижает сама платформа Windows Azure и базовая сетевая инфраструктура.

13 Сканирование портов и перечисление служб Открытые и адресуемые сетевые порты (внутренние и внешние) виртуальной машины Windows Azure явным образом заданы в файле определения службы. Кроме расширенных средств фильтрации пакетов в коммутаторе виртуальных машин, который блокирует неавторизованный трафик, на каждой из машин включен брандмауэр Windows. «Отказ в обслуживании» Система балансировки нагрузки в Windows Azure позволяет частично снизить угрозу атак класса «отказ в обслуживании» из Интернета и внутренних сетей. Это достигается совместно с разработчиками, которые должны настроить соответствующий файл определения служб для всех экземпляров масштабируемых виртуальных машин. Доступ к виртуальным машинам Windows Azure из Интернета возможен только с помощью публичных виртуальных IP-адресов. Сетевой трафик с виртуальных публичных адресов маршрутизируется через инфраструктуру балансировки нагрузки, которая обслуживает среду Windows Azure. Windows Azure отслеживает и выявляет инициированные изнутри нее атаки класса «отказ в обслуживании» и удаляет учетные записи и виртуальные машины злоумышленников из сети. В качестве дополнительной меры защиты предусмотрено следующее: основная ОС хост-компьютера, управляющая гостевыми виртуальными машинами в облачной среде, не может быть адресована напрямую другими арендаторами сети Azure, внешняя адресация основной ОС хост-компьютера также не поддерживается. Специалисты Windows Azure также анализируют возможность применения дополнительных решений для защиты от распределенных атак класса «отказ в обслуживании» (DDoS), доступные в качестве служб Microsoft Global Foundation Services, что обеспечит дополнительную защиту от подобных атак. Спуфинг Виртуальные локальные сети (VLAN) используются для разделения внутренней сети на сегменты, что делает невозможным применение скомпрометированных узлов для олицетворения доверенных систем, например, контроллера структуры (Fabric Controller, FC). Коммутатор виртуальных машин содержит дополнительные фильтры, блокирующие трафик широковещательных и многоадресных запросов, за исключением трафика, необходимого службе DHCP для управления арендой IP-адресов. Более того, канал обмена данными между корневой ОС и контроллером структуры (Fabric Controller, FC) подвергается шифрованию и поддерживает аутентификацию через HTTPS-соединение, что позволяет защитить от перехвата передаваемые сведения о конфигурации и сертификатах. Прослушивание канала и перехват пакетов Виртуальный коммутатор гипервизора защищает от перехвата пакетов злоумышленниками, которые используют для этой цели другие виртуальные машины, размещенные на одном физическом хосткомпьютере с жертвой. Стоечные коммутаторы используются для поддержки перечней IP- и MACадресов, доступных отдельным виртуальным машинам, что позволяет снизить риск атак, использующих перехват пакетов во внутренних сетях. Чтобы перехватывать пакеты, передаваемые внутри облачной среды Windows Azure, злоумышленнику сначала придется скомпрометировать арендатора виртуальной машина таким образом, чтобы получить права администратора виртуальной машины, а затем использовать уязвимость гипервизора с целью взлома корневой ОС физической машины и получения прав системной учетной записи. Проделав все это, злоумышленник сможет видеть только входящий трафик скомпрометированного хост-компьютера, предназначенный для динамических IP-адресов гостевых виртуальных машин, управляемых гипервизором. Поддержка нескольких арендаторов и атаки по сторонним каналам Атаки раскрытия информации (например, перехват пакетов) менее разрушительны, нежели другие формы атак изнутри центров обработки данных Windows Azure, поскольку виртуальные машины по

14 умолчанию не являются доверенными для гипервизора корневой ОС. Корпорация Microsoft провела большую аналитическую работу для определения степени уязвимости всей платформы к атакам по сторонним каналам. Труднее всего оказалось снизить риски, связанные с атаками по времени. При проведении атак по времени приложение измеряет длительность выполнения некоторых операций и на основании этого делает логические выводы о том, что происходит на другом процессоре. Определяя случаи ошибок при доступе к кэш-памяти, злоумышленник может установить, какие именно строки кэшпамяти запрашиваются программным кодом. Поскольку некоторые реализации криптографических алгоритмов предусматривают просмотр больших таблиц, знание шаблонов доступа к оперативной памяти способно помочь в выявлении ключа шифрования, и это даже с учетом разрозненности строк кэша. Подобные атаки кажутся чрезмерно сложными и зависящими от многих факторов, но их эффективность была наглядно продемонстрирована в контролируемой среде. Существует большое число причин, по которым вероятность успешных атак по сторонним каналам в среде Windows Azure крайне низка. Эти атаки лучше всего срабатывают в контексте гиперпоточности, когда несколько потоков используют кэш-память совместно. Во многих современных процессорах реализованы полностью независимые процессорные ядра, каждое из которых может обладать собственной кэш-памятью значительного объема. Микросхемы процессоров, используемые для поддержки современной среды Windows Azure, имеют четыре ядра и общую кэш-память только третьего уровня. Среда Windows Azure выполняется на узлах, содержащих пары четырехъядерных процессоров, поэтому общий доступ к кэш-памяти используют три других процессора одновременно, а шину памяти делят уже семь процессоров. Эти возможности общего доступа приводят к возникновению значительного шума при передаче любых сигналов от одного процессора другому, поскольку одновременные операции нескольких процессоров приводят к обфускации сигнала. Как правило, среда Windows Azure выделяет отдельные процессоры конкретным виртуальным машинам. Любая система, в которой используются недостаточно загруженные процессоры, а количество логических процессоров превышает количество физических, уязвима для считывания шаблонов доступа к кэш-памяти при переключении контекстов. В среде Windows Azure реализован иной принцип работы. Виртуальные машины могут переноситься с одного процессора на другой, но навряд ли эта процедура будет выполняться достаточно часто, чтобы злоумышленники смогли считать какую-либо информацию. Внешняя проверка Корпорация Microsoft заключила договоры с двумя ведущими компаниями в сфере информационной безопасности, которые выполнили оценку эффективности различных элементов системы безопасности, реализованных в архитектуре Azure. Эта проверка была проведена перед конференцией разработчиков Professional Developers Conferences (PDC) в 2008 и 2009 гг. Каждая из компаний затратила значительное время на изучение защищенных границ в среде виртуализации, а также попытки атак по сторонним каналам или путем создания избыточной нагрузки на подсистему ввода-вывода. Ни одна из этих компаний не смогла провести успешную атаку на систему. При этом нельзя сказать, что подобная атака не может закончиться успешно, однако этого не смогли добиться шесть профессиональных тестировщиков, работавшие в течение семи недель. Эти тесты послужили дополнением к обязательному тестированию системы безопасности внутренними специалистами.

15 Безопасность среды выполнения: разделение ролей и прав процессов в системе полного доверия и сравнение с системой частичного доверия в среде Windows Azure В среде Windows Azure реализована нестандартная модель доверия на основе ограниченных прав, доступная всем ролям и носящая название Модель частичного доверия Windows Azure. В зависимости от требований заказчика, среда Windows Azure также поддерживает модель полного доверия с возможностью выполнения машинного кода. Модель полного доверия с возможностью выполнения машинного кода поддерживает реализацию следующих сценариев. Использование FastCGI или PHP. Миграция традиционных веб-служб в облако. Вызов ролей и запуск вложенных процессов Windows (на основе машинного кода или управляемых). Вызовы функций из стандартных библиотек с помощью служб P/Invoke (Platform Invocation Services). Для роли, которой не требуются перечисленные выше функции, должна быть включена модель частичного доверия Windows Azure Partial Trust. Этот параметр не только позволяет сократить спектр возможных атак на роль, но также позволяет уменьшить ущерб от компрометации роли (см. раздел далее в этом документе, посвященный сравнению модели частичного доверия Windows Azure и модели полного доверия). Независимо от выбранной модели доверия, роли заказчика размещаются в процессах svchost, не имеющих административных прав. Эти процессы svchost выполняются под SID учетных записей виртуальных служб, а не под учетными записями локальной системы, сетевой службы или администратора. Подобное ограничение позволяет создать двухуровневую эшелонированную защиту: Скомпрометированная служба не может управлять другими экземплярами той же самой службы, если эти экземпляры размещены на других виртуальных машинах, что позволяет ограничить ширину вторжения только тем компьютером, на который была нацелена атака. Скомпрометированная служба не может с легкостью атаковать виртуальную машину гостевой операционной системы с целью компрометации ОС физического хост-компьютера. Скомпрометированная веб-роль, использующая модель частичного доверия Windows Azure, не может использовать средство P/Invoke для вызова функций из бинарных файлов с машинным кодом, которые затем могут использоваться для получения конфиденциальной информации о службе у виртуальной машины (например, о хранилище данных ключей или об интеллектуальной собственности, которая может присутствовать в памяти этого приложения). Это также позволяет уменьшить риск прямых атак на основной хост-компьютер с помощью границы гипервизора для корневой или гостевой машины с целью получения контроля над системой.

16 Подводя итоги: разработка более безопасных приложений Windows Azure Понимание разработчиками моделей доверия Windows Azure, применяемых в среде выполнения, а также средств обеспечения безопасности и сфер ответственности каждого из слоев облачной службы, позволит создавать более безопасные приложения с учетом приведенных ниже рекомендаций. Изоляция веб-ролей и разделение обязанностей отдельных ролей для максимального использования модели частичного доверия Windows Azure Приложение В с перечнем уровней доверия служит примером подмножества ограничений политик частичного доверия. Полный перечень ограничений содержится в документе Справочник по модели частичного доверия Windows Azure. Влияние этих ограничений системы безопасности иллюстрирует преимущества использования модели частичного доверия Windows Azure для обеспечения безопасности служб Windows Azure, и в особенности тех ролей, которые поддерживают доступ к среде из Интернета. Эта модель ограничивает возможности использования большинства операций, связанных с доступом к локальным переменным, файловой системой и реестром. Веб-соединения и использование сокетов также ограничено. Использование шаблона проектирования Gatekeeper для разделения обязанностей ролей и изоляции объектов с привилегированным доступом Gatekeeper представляет собой шаблон проектирования, в котором используется брокер доступа к хранилищу, что позволяет сократить спектр атак на привилегированные роли. Это достигается путем ограничения взаимодействия между ролями только обменом данными по внутренним личным каналам и только с другими веб-ролями или ролями исполнителей. Развертывание этих ролей выполняется на отдельные виртуальные машины. В случае успешной атаки на веб-роль привилегированный ключ не подвергается компрометации. Лучшей иллюстрацией этого шаблона служит следующий пример, в котором используются две роли: GateKeeper это веб-роль, применяемая для обслуживания запросов из Интернета. Поскольку эти запросы являются потенциально вредоносными, роли Gatekeeper не доверены никакие другие обязанности, кроме проверки входных данных. Роль GateKeeper реализована в управляемом коде и выполняется согласно модели частичного доверия Windows Azure. Параметры конфигурации службы для этой роли не содержат никакой информации об общих ключах, используемых внутри Windows Azure Storage. KeyMaster это привилегированная роль серверного исполнителя, которая занимается только получением входных данных от роли Gatekeeper по безопасному каналу (с помощью внутренней конечной точки или очереди хранения, которые поддерживают защиту посредством протокола HTTPS). Роль KeyMaster обрабатывает запросы обращения к хранилищу, передаваемые ролью GateKeeper, и по умолчанию считает, что эти запросы подвергнуты некоторой проверке. Роль KeyMaster, обеспечивающая получение данных из табличного хранилища или хранилища BLOBданных, настроена с использованием сведений об учетной записи Windows Azure Storage, полученной из конфигурации службы. Затем полученные данные могут быть переданы клиенту, который их запросил. Подобная архитектура не требует использования отношений полного доверия или машинного кода, но обеспечивает достаточную гибкость для запуска роли KeyMaster с использованием повышенных прав, если это необходимо.

17 Запрос клиента Проверенный запрос к данным от внутренней конечной Запрос к точки хранилищу Клиент Веб-роль GateKeeper (частичное доверие) Роль исполнителя KeyMaster Хранилище Возвращенные данные хранилища Передача данных хранилища клиенту Возврат данных хранилища Рис. 1. Шаблон проектирования Gatekeeper Это решение не является идеальным, поскольку KeyMaster опирается на GateKeeper при определении возвращаемого содержимого. Однако он обеспечивает разделение обязанностей, что способно создать дополнительные трудности для злоумышленника. Степень доверия роли KeyMaster к роли GateKeeper может быть настроена в соответствии с индивидуальными требованиями, но рекомендуется уменьшать количество типов запросов доступа, разрешенных от роли GateKeeper. Это позволит роли KeyMaster принимать от роли GateKeeper API-запросы на чтение BLOB-данных из хранилища и получение списка объектов, но не принимать запросы на выполнение операций записи или удаления данных. Этот шаблон обеспечивает простоту адаптации для поддержки более сложных архитектур служб в среде Windows Azure. Для этой цели необходимо лишь размещать роль Gatekeeper с частичными правами перед ролями с повышенными правами (или использующими машинный код) для выполнения синтаксического разбора потенциально вредоносных данных из сети. Эта концепция аналогична запуску брандмауэра в качестве сетевой службы для взаимодействия с TCP-пакетами из внешней сети перед тем, как передавать их более критически важным компонентам, расположенным выше по стеку. Если невозможно применить роль Gatekeeper, используйте несколько ключей хранилища для ограничения доступа к конфиденциальной информации В тех сценариях, где невозможно разместить роль Gatekeeper с моделью частичного доверия перед ролью с моделью полного доверия, для защиты доверенных данных хранилища можно применить шаблон проектирования с поддержкой нескольких ключей. Примером реализации подобного сценария может быть использование веб-роли PHP в качестве интерфейсной веб-роли, в то время как размещение перед ней роли Gatekeeper с моделью частичного доверия способно понизить производительность до неприемлемого уровня. Одной подписке на среду Windows Azure можно присвоить до пяти ключей хранилища. Подобный уровень разнообразия можно использовать для снижения угрозы раскрытия данных при краже одного из ключей, когда ключи с более низкими уровнями доверия присваиваются ролям с пониженными уровнями доверия, а ключи с высоким уровнем доверия присваиваются аналогичным ролям. Изображенная на рисунке ниже «Недоверенная веб-роль А» имеет доступ только к одной учетной записи хранилища и не имеет достаточных прав для выполнения каких-либо других действий, кроме синтаксического анализа входящих запросов и внесения их в журнал учетной записи хранилища «А». Размещенная на ее фоне «Доверенная веб-роль Б» обладает ключами доступа к обоим хранилищам «А» и «Б», но неуязвима для потенциально вредоносных, неверных входных данных. «Доверенная роль «Б» обрабатывает и фильтрует запросы от недоверенной роли с помощью хранилища А, но ожидает

18 специальной структуры или формата запросов. Роль Б никогда не доверяет роли А полностью, что позволяет защитить «настоящий» ключ хранилища (учетная запись Б) даже в случае появления полностью скомпрометированной недоверенной роли с правами доступа к Интернету. Как и в случае применения шаблона Gatekeeper, доверенная роль не должна обеспечивать свободный доступ к доверенному хранилищу от имени веб-роли А, но должна поддерживать только подмножество разрешенных команд (например, в некоторых ситуациях может поддерживаться чтение, но не создание, обновление и удаление ). Клиент Потенциально вредоносные входные данные Недоверенная веб-роль А: выполняет проверку входных данных. Использует только Отклики учетную запись хранилища А Проверенные данные, но НЕДОВЕРЕННЫЕ запросы Благодарности Недоверенное хранилище, ключ учетной записи А Возврат данных Роль А проверяет запрос на выдачу данных Передача данных хранилища клиенту Доверенная веброль или роль исполнителя Б: расширенная проверка входных данных: несколько ключей хранилища Запросы к доверенному хранилищу Возврат данных ДОВЕРЕННОЕ хранилище, ключ учетной записи Б Рис. 2. Шаблон проектирования с использованием нескольких ключей Шаблон проектирования с использованием нескольких ключей имеет некоторые преимущества над шаблоном с использованием ролей Gatekeeper и KeyMaster: Разделение обязанностей между учетными записями для доступа к хранилищу. В случае компрометации веб-роли А теряются только недоверенная учетная запись для доступа к хранилищу и связанный с ней ключ. Не требуется указывать внутренние конечные точки службы. Вместо них необходимо использовать несколько учетных записей системы хранения. Использование модели частичного доверия Windows Azure не является обязательным для работы с недоверенной веб-ролью, доступной из Интернета. Поскольку PHP не поддерживает

19 модель частичного доверия, роль Gatekeeper невозможно настроить для хостинга с поддержкой PHP. Применение методов SDL при разработке приложений для Windows Azure В следующем разделе описаны методы обеспечения безопасности, которые необходимо использовать при проектировании и создании приложений для среды Windows Azure. Жизненный цикл разработки приложений Microsoft Security Development Lifecycle (SDL) относится не только к разработке приложений для платформы Windows Azure, но и к разработке приложений для любых других платформ. Большинство приложений Windows Azure разрабатываются с применением методологии Agile. В результате использование жизненного цикла SDL совместно с методологией Agile может оказаться более подходящим для приложений, размещаемых на платформе Windows Azure, нежели применение классического цикла SDL со строго заданными этапами разработки. Веб-сайт Microsoft, посвященный жизненному циклу SDL, содержит подробные сведения о применении SDL совместно с методологией Agile. Корпорация Microsoft требует соблюдения жизненного цикла SDL при разработке всех приложений Microsoft, предназначенных для развертывания на платформе Windows Azure. Использование жизненного цикла SDL позволяет устранить угрозы безопасности, характерные для процесса разработке, с помощью следующих средств: моделирование угроз в ходе проектирования, соблюдение рекомендаций по разработке приложений и стандартов безопасности программного кода в ходе его написания, а также за счет применения различных инструментов тестирования и верификации кода перед развертыванием приложений. Применение в ходе разработки ПО этих средств упреждающей проверки позволяет понизить степень уязвимости программного обеспечения к потенциальным угрозам после выпуска. Жизненный цикл SDL также содержит структурированную и единообразную методологию использования средств тестирования. Применение подобных методологий, ориентированных на обеспечение высочайшего уровня безопасности, помогло корпорации Microsoft в разработке более безопасного ПО. Все разработчики программного обеспечения для платформы Windows Azure могут использовать аналогичные методы для повышения безопасности своих приложений. Обучение и обмен информацией по вопросам безопасности Если команда разработчиков не понимает основы проектирования и разработки безопасных приложений или риски, связанные с использованием веб-служб и приложений, то соответствующее обучение становится насущной необходимостью. Его необходимо провести перед началом работ по проектированию, разработке, тестированию или развертыванию любых приложений Windows Azure. Все участники команд разработчиков приложений должны знать основы разработки безопасных приложений и новейшие тенденции в сфере безопасности и защиты конфиденциальной информации. Каждый из них обязан раз в году посетить хотя бы одно соответствующее занятие это минимальное требование. Необходимо поощрять поиск участниками команд разработчиков любых возможностей, связанных с получением дополнительного образования в сфере безопасности и защиты конфиденциальной информации. Разработчики, сведущие в современных вопросах безопасности, способны проектировать и разрабатывать приложения с учетом первостепенной важности вопросов безопасности. Для них этот аспект работы приложения отнюдь не является маловажной «дополнительной функцией», которую следует добавлять в самом завершении процесса разработки ПО.

20 Если принять во внимание, что приложения Windows Azure, как правило, представляют собой вебприложения на основе управляемого программного кода (ASP.NET), то перечень соответствующих вопросов информационной безопасности будет выглядеть следующим образом. Проектирование безопасных приложений, включая следующие темы: Сокращение площади возможных атак Многоуровневая защита Принцип минимума полномочий Моделирование угроз Программирование безопасных приложений, включая следующие темы: Межсайтовые сценарии SQL-инъекции Безопасность управляемого программного кода (прозрачность, безопасность доступа к коду, строгое именование сборок и т. п.) Руководство по процедурам SDL в соответствующей документации содержит ссылки на книги и обучающие материалы, полезные для начала обучения по программе SDL. Методы разработки безопасных приложений для платформы Windows Azure В состав методологии разработки SDL входят руководство по использованию средств разработки и методы работы, относящиеся к платформе Azure. Для получения современных версий компиляторов, компоновщиков и прочих инструментов, необходимых для использования методологии SDL, см. раздел Жизненный цикл SDL в Приложении Д. При компиляции программ для платформы Win64 используйте ту версию компилятора, которая указана в требованиях жизненного цикла разработки SDL, или более новую. Программный код C/C++: Visual C с пакетом обновления 1 (SP1) Программный код C# или Visual Basic.NET: Visual C# 2005 и Visual Basic.NET 2005 Компиляцию и сборку машинного кода C/C++ следует выполнять с указанием параметров /GS, /SAFESEH, /DYNAMICBASE и /NXCOMPAT. Эти параметры указаны по умолчанию в среде разработки Visual C с пакетом обновления 1 (SP1) или более поздним. Вы можете проверить использование этих параметров с помощью средства анализа бинарных файлов BinScope. Машинный код, созданный с помощью языков C или C++Ю, не должен использовать запрещенные функции обработки буферов. Для получения дополнительной информации см. документ Security Development Lifecycle (SDL) Banned Function Calls (Жизненный цикл разработки SDL: запрещенные вызовы функций). Используйте требуемые (или более новые) версии инструментов анализа программного кода, когда работаете с машинным кодом, созданным с помощью языков C and C++ (помните о параметре /analyze, который предусмотрен в компиляторе).

Обзор гибридной среды SharePoint 2013 Business Connectivity Services

Обзор гибридной среды SharePoint 2013 Business Connectivity Services Обзор гибридной среды SharePoint 2013 Business Connectivity Services Кристофер Джей Фокс (Christopher J Fox) Корпорация Майкрософт Ноябрь 2012 г. Область применения: SharePoint 2013, SharePoint Online

Подробнее

Обеспечение безопасности передачи данных по каналам связи.

Обеспечение безопасности передачи данных по каналам связи. Рекомендации безопасности Для безопасной эксплуатации программного комплекса «Кливер Мониторинг Энергии» следует соблюдать следующие рекомендации Обеспечение безопасности передачи данных по каналам связи.

Подробнее

ÑÎÄÅÐÆÀÍÈÅ ÀÑÒÜ I. ÎÑÍÎÂÛ 25. Ââåäåíèå 19

ÑÎÄÅÐÆÀÍÈÅ ÀÑÒÜ I. ÎÑÍÎÂÛ 25. Ââåäåíèå 19 ÑÎÄÅÐÆÀÍÈÅ Ââåäåíèå 19 ÀÑÒÜ I. ÎÑÍÎÂÛ 25 Ãëàâà 1. Îñíîâû áåçîïàñíîñòè ñåòåé è ñèñòåì 27 Правила обеспечения безопасности в организации 28 Планирование 28 Обнаружение 30 Ответные действия 30 Предотвращение

Подробнее

Объект закупки: оказание услуг по предоставлению (продлению) неисключительных прав (лицензий) на использование программного обеспечения Microsoft

Объект закупки: оказание услуг по предоставлению (продлению) неисключительных прав (лицензий) на использование программного обеспечения Microsoft Обоснование невозможности соблюдения запрета на допуск программного обеспечения (далее ПО), происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных

Подробнее

10978 А: Знакомство с Azure для разработчиков А: Introduction to Azure for Developers

10978 А: Знакомство с Azure для разработчиков А: Introduction to Azure for Developers 10978 А: Знакомство с Azure для разработчиков 10978 А: Introduction to Azure for Developers Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 Детальная информация о курсе...

Подробнее

Развертывание, подготовка к работе и обновление операционных систем Windows Server с помощью System Center

Развертывание, подготовка к работе и обновление операционных систем Windows Server с помощью System Center Автоматизированное и централизованное развертывание, подготовка к работе и обновление операционных систем Windows Server развертывание, подготовку к работе и обновление операционных систем Windows Server

Подробнее

Администрирование в информационных системах. Лекция 9. Администрирование веб-узлов. Управление контентом.

Администрирование в информационных системах. Лекция 9. Администрирование веб-узлов. Управление контентом. Администрирование в информационных системах Лекция 9. Администрирование веб-узлов. Управление контентом. Технологии управления содержимым веб-узлов Веб-узел информационный ресурс, дающий возможность предоставлять

Подробнее

Оглавление. Часть I Обзор Active Directory в Windows Server Введение...XVI

Оглавление. Часть I Обзор Active Directory в Windows Server Введение...XVI Оглавление Введение...XVI Часть I Обзор Active Directory в Windows Server 2008 Глава 1. Изменения Active Directory в Windows Server 2008...2 Нововведения в доменных службах Active Directory...2 Контроллеры

Подробнее

Рисунок 1. Внешний вид электронного ключа ALMAZ III

Рисунок 1. Внешний вид электронного ключа ALMAZ III ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ Специализированные Информационные Системы www.specinfosystems.com.ua 61109, г. Харьков, ул. Руднева, 26. Тел.: (057) 714-03-54. 1. Наименование продукта Система

Подробнее

Конфиденциальная информация отправляется по эл. почте

Конфиденциальная информация отправляется по эл. почте Конфиденциальная информация отправляется по эл. почте Доступ отсутствует или ограничен Доступ отсутствует или ограничен Вредоносный код Безопасный удаленный доступ к ресурсам организации с любого устройства

Подробнее

Базовые принципы обеспечения безопасности локальной вычислительной сети Содержание

Базовые принципы обеспечения безопасности локальной вычислительной сети Содержание Базовые принципы обеспечения безопасности локальной вычислительной сети Содержание 1 Основные узлы ЛВС 2 Базовые мероприятия по обеспечению безопасности ЛВС. 3 Безопасность локальной сети, подключенной

Подробнее

СПИСОК ТЕМ ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ И ПОДГОТОВКИ К ЛЕКЦИЯМ:

СПИСОК ТЕМ ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ И ПОДГОТОВКИ К ЛЕКЦИЯМ: Порядок выполнения индивидуального задания:: 1. Изучить темы для самостоятельного изучения (см. ниже). 2. Выбрать номер варианта индивидуального задания. 3. Ответить на контрольные вопросы варианта (последняя

Подробнее

10958 B: Основы программирования веб-приложений

10958 B: Основы программирования веб-приложений 10958 B: Основы программирования веб-приложений 10958 B: Основы программирования веб-приложений Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании курса... 2

Подробнее

Xerox FreeFlow Core 4.0 SP3 ( ) Версия публикации: 1.3 Октябрь 2015 г. 708P Xerox FreeFlow Core Руководство по обеспечению безопасности

Xerox FreeFlow Core 4.0 SP3 ( ) Версия публикации: 1.3 Октябрь 2015 г. 708P Xerox FreeFlow Core Руководство по обеспечению безопасности Xerox FreeFlow Core 4.0 SP3 (4.0.3.0) Версия публикации: 1.3 Октябрь 2015 г. 708P91108 Руководство по обеспечению безопасности Корпорация Xerox, 2015 г. Все права защищены. Xerox, Xerox и Design, FreeFlow

Подробнее

VALO Cloud. v.2.0 Общее и техническое описание

VALO Cloud. v.2.0 Общее и техническое описание VALO Cloud v.2.0 Общее и техническое описание Облачное решение VALO Cloud Программное обеспечение VALO Cloud -- это полностью автоматизированное корпоративное решение для синхронизации данных между устройствами

Подробнее

Миграция из Microsoft FRx в Microsoft Management Reporter

Миграция из Microsoft FRx в Microsoft Management Reporter Миграция из Microsoft FRx в Microsoft Management Reporter Корпорация Майкрософт Дата публикации: декабрь 2010 г. Microsoft Dynamics это линейка интегрированных настраиваемых решений для управления предприятием,

Подробнее

Меры по обеспечению защиты данных для сервиса ispring Online

Меры по обеспечению защиты данных для сервиса ispring Online Меры по обеспечению защиты данных для сервиса ispring Online Назначение документа Настоящий документ описывает меры, предпринимаемые Компанией ispring для защиты данных, размещенных пользователями в системе

Подробнее

Прозрачности. Неприкосновенности. Безопасность. Соответствии нормам

Прозрачности. Неприкосновенности. Безопасность. Соответствии нормам Неприкосновенности Что значит неприкосновенность данных для Microsoft? Используете ли вы мои данные для подготовки и продажи аналитических отчетов? Прозрачности Где хранятся мои данные? Кто имеет доступ

Подробнее

Платформа Microsoft для бизнес-аналитики

Платформа Microsoft для бизнес-аналитики Платформа Microsoft для бизнес-аналитики Сергей Минюров Октябрь, 2013 В области разработки интеграционных и аналитических решений продукты Microsoft является признанным лидером мирового рынка. Рисунок

Подробнее

Программирование сети с использованием инфраструктуры Cisco, ориентированной на приложения

Программирование сети с использованием инфраструктуры Cisco, ориентированной на приложения Официальный документ Программирование сети с использованием инфраструктуры Cisco, ориентированной на приложения Обзор Данный документ посвящен вопросам программируемости сети на базе инфраструктуры Cisco,

Подробнее

Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.

Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г. Руководящий документ Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации Утверждено

Подробнее

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ. Руководящий документ

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ. Руководящий документ ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ Руководящий документ СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. МЕЖСЕТЕВЫЕ ЭКРАНЫ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ

Подробнее

Дирекция информационных технологий УрФУ. программное обеспечение

Дирекция информационных технологий УрФУ. программное обеспечение УТВЕРЖДЕНО приказом от 27.12.2013 1039/03 ПОЛОЖЕНИЕ об использовании сервисов единого каталога AT.URFU.RU в сети Уральского федерального университета имени первого Президента России Б.Н. Ельцина I. Термины

Подробнее

Виртуальные контейнеры Docker: назначение и особенности применения

Виртуальные контейнеры Docker: назначение и особенности применения Виртуальные контейнеры Docker: назначение и особенности применения # 02, февраль 2015 Нанян С. М. 1,*, Ничушкина Т. Н. 2 УДК: 004.457 1 Россия, Яндекс 2 МГТУ им. Н.Э. Баумана Введение Некоторое время назад,

Подробнее

Windows Server 2016 и System Center 2016

Windows Server 2016 и System Center 2016 Windows Server 2016 и System Center 2016 Вопросы и ответы о ценообразовании и лицензировании (май 2016 г.) 1. Какие преимущества ждут клиентов в Windows Server 2016 и System Center 2016? ИТ-специалисты

Подробнее

РЕАЛИЗАЦИЯ МЕТОДА ЗАЩИТЫ УЧЁТНЫХ ДАННЫХ ДЛЯ ДОСТУПА К СУБД В ВЕБ-ПРИЛОЖЕНИЯХ 1 П. А. Паутов

РЕАЛИЗАЦИЯ МЕТОДА ЗАЩИТЫ УЧЁТНЫХ ДАННЫХ ДЛЯ ДОСТУПА К СУБД В ВЕБ-ПРИЛОЖЕНИЯХ 1 П. А. Паутов ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА 2009 Математические основы компьютерной безопасности 3(5) УДК 004.056 РЕАЛИЗАЦИЯ МЕТОДА ЗАЩИТЫ УЧЁТНЫХ ДАННЫХ ДЛЯ ДОСТУПА К СУБД В ВЕБ-ПРИЛОЖЕНИЯХ 1 П. А. Паутов Томский

Подробнее

Приложение А. Оценочные средства (контролирующие материалы) по дисциплине

Приложение А. Оценочные средства (контролирующие материалы) по дисциплине Приложение А. Оценочные средства (контролирующие материалы) по дисциплине 1. Материалы для текущего контроля успеваемости. Материалы для текущего тестирования студентов содержат 35 вопросов. На каждый

Подробнее

10972: Администрирование роли Веб Сервер (IIS) в Windows Server 10972: Administering the Web Server (IIS) Role of Windows Server

10972: Администрирование роли Веб Сервер (IIS) в Windows Server 10972: Administering the Web Server (IIS) Role of Windows Server 10972: Администрирование роли Веб Сервер (IIS) в Windows Server 10972: Administering the Web Server (IIS) Role of Windows Server Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории...

Подробнее

Требования к контролю внешних поставщиков

Требования к контролю внешних поставщиков Требования к контролю внешних поставщиков Кибербезопасность Для поставщиков, отнесенных к категории низкого риска Требования к 1. Защита активов и конфигурация системы Данные Barclays вместе с активами

Подробнее

Системные требования для решения Microsoft Dynamics NAV 2013 R2. Сентябрь 2013 г.

Системные требования для решения Microsoft Dynamics NAV 2013 R2. Сентябрь 2013 г. Системные требования для решения Microsoft Dynamics NAV 2013 R2 Сентябрь 2013 г. Содержание 3 Системные требования для клиента Microsoft Dynamics NAV для Windows 3 Системные требования для веб-клиента

Подробнее

Интеграционная платформа для 1С

Интеграционная платформа для 1С Интеграционная платформа для 1С Решение «Интеграционная платформа для 1С» ООО «Интерпроком» Назначение решения «Интеграционная платформа для 1С» - решение компании Интерпроком для обеспечения интеграционного

Подробнее

20483 B: Программирование на C# B: Программирование на C#

20483 B: Программирование на C# B: Программирование на C# 20483 B: Программирование на C# 20483 B: Программирование на C# Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании курса... 2 Детальная информация о курсе...

Подробнее

Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34.680-90 и других документов.

Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34.680-90 и других документов. Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации Утверждено решением председателя

Подробнее

КОРПОРАТИВНЫЕ И ИНТЕРНЕТ- ПОРТАЛЫ. ОПЕРАЦИОННЫЕ СИСТЕМЫ КИС

КОРПОРАТИВНЫЕ И ИНТЕРНЕТ- ПОРТАЛЫ. ОПЕРАЦИОННЫЕ СИСТЕМЫ КИС КОРПОРАТИВНЫЕ И ИНТЕРНЕТ- ПОРТАЛЫ. ОПЕРАЦИОННЫЕ СИСТЕМЫ КИС Портал Порталы могут быть специализированными, ориентированными на определенный вид деятельности или просто удачным сочетанием сервисов, поисковой

Подробнее

ПРОИЗВОДИТЕЛЬНОСТЬ И МАСШТАБИРУЕМОСТЬ

ПРОИЗВОДИТЕЛЬНОСТЬ И МАСШТАБИРУЕМОСТЬ ПРОИЗВОДИТЕЛЬНОСТЬ И МАСШТАБИРУЕМОСТЬ Масштабирование базы данных Microsoft Dynamics CRM 4.0 Содержание Общие сведения...3 Краткие результаты тестирования...3 Обзор...4 Методология тестирования...4 Бизнес-транзакции...5

Подробнее

Безопасность данных в различных средах приложений: локально, удаленно и в облаке НОВЫЙ ВЗГЛЯД НА МАСКИРОВКУ ДАННЫХ ТЕХНИЧЕСКОЕ РУКОВОДСТВО

Безопасность данных в различных средах приложений: локально, удаленно и в облаке НОВЫЙ ВЗГЛЯД НА МАСКИРОВКУ ДАННЫХ ТЕХНИЧЕСКОЕ РУКОВОДСТВО Безопасность данных в различных средах приложений: локально, удаленно и в облаке НОВЫЙ ВЗГЛЯД НА МАСКИРОВКУ ДАННЫХ ТЕХНИЧЕСКОЕ РУКОВОДСТВО СОДЕРЖАНИЕ ПРОБЛЕМЫ ЗАЩИТЫ ДАННЫХ В ЖИЗНЕННОМ ЦИКЛЕ ПРИЛОЖЕНИЯ...

Подробнее

Правила по обеспечению информационной безопасности на рабочем месте

Правила по обеспечению информационной безопасности на рабочем месте Правила по обеспечению информационной безопасности на рабочем месте 1. Введение Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную

Подробнее

Трансформирует центры обработки данных Повышает эффективность ЕДИНАЯ центров. обработки данных

Трансформирует центры обработки данных Повышает эффективность ЕДИНАЯ центров. обработки данных Трансформирует центры обработки данных Повышает эффективность ЕДИНАЯ центров ПЛАТФОРМА обработки данных ЛОКАЛЬНО WINDOWS AZURE Дает возможность использования новейших приложений Позволяет обеспечить пользователям

Подробнее

Лекция 1. Введение в Active Directory. Определение каталога и службы каталогов

Лекция 1. Введение в Active Directory. Определение каталога и службы каталогов chizikov 7/29/08 4:47 PM Page 10 Лекция 1. Введение в Active Directory Краткая аннотация: Определение и назначение служб каталогов, их основные функции и задачи. Службы каталогов предвестники Microsoft

Подробнее

6231: Поддержка баз данных Microsoft SQL Server 2008 R2 6231: Поддержка баз данных Microsoft SQL Server 2008 R2

6231: Поддержка баз данных Microsoft SQL Server 2008 R2 6231: Поддержка баз данных Microsoft SQL Server 2008 R2 6231: Поддержка баз данных Microsoft SQL Server 2008 R2 6231: Поддержка баз данных Microsoft SQL Server 2008 R2 Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании

Подробнее

Меры по обеспечению защиты данных для сервиса ispring Cloud

Меры по обеспечению защиты данных для сервиса ispring Cloud Меры по обеспечению защиты данных для сервиса ispring Cloud Назначение документа Настоящий документ описывает меры, предпринимаемые Компанией ispring для защиты данных, размещенных пользователями в сервисе

Подробнее

Иванов Андрей Microsoft

Иванов Андрей Microsoft Иванов Андрей Microsoft Содержание Тренды Безопасность на стороне провайдера Инструменты защиты конечной корпоративной информационной системы Дополнительные возможности Что изменилось? Полярные точки зрения

Подробнее

Создание сценария теста

Создание сценария теста Создание сценария теста Ваша работа с WAPT начинается с создания сценария теста. На этом этапе Вы определяете цели тестирования и указываете основные параметры теста, такие как число виртуальных пользователей,

Подробнее

EMC День новых рекордов 28 апреля 2011 года

EMC День новых рекордов 28 апреля 2011 года EMC День новых рекордов 28 апреля 2011 года Решения VMware для построения частного облака Ринат Узбеков Эксперт по решениям. VMware Inc. Казахстан и СНГ VMware, Inc., 2009-2011. Все права защищены. VMware

Подробнее

Предупреждение. Файл закрытого ключа должен быть защищен.

Предупреждение. Файл закрытого ключа должен быть защищен. Практические рекомендации по безопасности pcanywhere В этом документе содержатся подробные сведения об улучшениях системы безопасности, введенных в pcanywhere 12.5 SP4 и pcanywhere Solution 12.6.7, сведения

Подробнее

АИС «Административная комиссия»

АИС «Административная комиссия» АИС «Административная комиссия» Версия 7.2 Руководство по установке ИП Петри, 2007-2016. Начало установки 1 Этот раздел содержит инструкции по установке АИС «Административная комиссия» на Ваше рабочее

Подробнее

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами: Содержание Введение Предварительные условия Требования Используемые компоненты Общие сведения Настройка Схема сети Настройте WLC Настройте ISE Шаг 1. Добавьте устройство доступа к сети Шаг 2. Включите

Подробнее

Компьютерные СЕТИ. (планирование сетевой системы, домены, группы, сервера, р глобальные сети, безопасность сети) Особенности обслуживания ПК и сетей

Компьютерные СЕТИ. (планирование сетевой системы, домены, группы, сервера, р глобальные сети, безопасность сети) Особенности обслуживания ПК и сетей Компьютерные СЕТИ (планирование сетевой системы, домены, группы, сервера, р глобальные сети, безопасность сети) 1 Планирование сетевой системы Сеть - это не просто о компьютеры,, соединенные кабелем. Сеть

Подробнее

Рисунок 1. Demo апплеты из Java Developer Kit

Рисунок 1. Demo апплеты из Java Developer Kit ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ ПРОГРАМНЫХ КОМПЛЕКСОВ ТЕСТИРОВАНИЯ ПРИ РЕАЛИЗАЦИИ ДИСТАНЦИОННЫХ ОБРАЗОВАТЕЛЬНЫХ ТЕХНОЛОГИЙ. Басов В.А., Васьковский А.Н. Коломенский филиал НАЧОУ ВПО Современная гуманитарная

Подробнее

Построение защищенных систем виртуализации

Построение защищенных систем виртуализации Построение защищенных систем виртуализации Железнов Михаил Юрьевич Все, что нужно для безопасности Заместитель генерального директора по информационной безопасности ООО «Комплексные системы безопасности»

Подробнее

Версия 1С:Предприятие это принципиальное изменение архитектуры платформы версии 8, наиболее существенное с момента ее выпуска.

Версия 1С:Предприятие это принципиальное изменение архитектуры платформы версии 8, наиболее существенное с момента ее выпуска. Версия 1С:Предприятие 8.2 - это принципиальное изменение архитектуры платформы версии 8, наиболее существенное с момента ее выпуска. 1С:Предприятие 8.2 полностью меняет весь слой работы с интерфейсом.

Подробнее

Одноранговые и клиентсерверные

Одноранговые и клиентсерверные Одноранговые и клиентсерверные сети Назначение компьютерных сетей Совместное использование ресурсов и осуществление интерактивной связи между узлами сети. Ресурсы(resources) это данные, приложения и периферийные

Подробнее

6419: Конфигурирование, управление и поддержка серверов на базе Windows Server 2008

6419: Конфигурирование, управление и поддержка серверов на базе Windows Server 2008 6419: Конфигурирование, управление и поддержка серверов на базе Windows Server 2008 6419: Конфигурирование, управление и поддержка серверов на базе Windows Server 2008 Содержание Краткая информация...

Подробнее

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «САМАРСКИЙ ГОСУДАРСТВЕННЫЙ АЭРОКОСМИЧЕСКИЙ УНИВЕРСИТЕТ имени академика С.П. КОРОЛЕВА

Подробнее

10775: Администрирование баз данных Microsoft SQL Server. Содержание

10775: Администрирование баз данных Microsoft SQL Server. Содержание 10775: Администрирование баз данных Microsoft SQL Server 10775: Администрирование баз данных Microsoft SQL Server Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании

Подробнее

Windows Server 2012 оптимизирует ИТ-среду организации для работы с облаком

Windows Server 2012 оптимизирует ИТ-среду организации для работы с облаком Обзор продукта Представленная в данном документе информация относится к предварительной версии продукта, которая может быть существенно изменена перед выходом на рынок. Компания Microsoft не предоставляет

Подробнее

Администрирование в информационных системах. Лекция 10. Администрирование почтовых серверов

Администрирование в информационных системах. Лекция 10. Администрирование почтовых серверов Администрирование в информационных системах Лекция 10. Администрирование почтовых серверов Электронная почта Электронная почта важное средство обмена информацией в современном мире. Обмен электронными

Подробнее

10974 А: Развертывание Windows Server А: Deploying Windows Server

10974 А: Развертывание Windows Server А: Deploying Windows Server 10974 А: Развертывание Windows Server 10974 А: Deploying Windows Server Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 Детальная информация о курсе... 2 Дополнительная

Подробнее

Шлюзы безопасности в банковской отрасли: сценарии из жизни

Шлюзы безопасности в банковской отрасли: сценарии из жизни Шлюзы безопасности в банковской отрасли: сценарии из жизни Густомясов Игорь Заместитель директора ЦК по стратегическим разработкам, Сбербанк Технологии Литвинов Антон Главный Архитектор, Сбербанк Технологии

Подробнее

«МУЛЬТИПОЕЗД» (АИС «МУЛЬТИПОЕЗД»)

«МУЛЬТИПОЕЗД» (АИС «МУЛЬТИПОЕЗД») ООО Компания «Сервис ТВ-Инфо» АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА «МУЛЬТИПОЕЗД» (АИС «МУЛЬТИПОЕЗД») ДОКУМЕНТАЦИЯ, СОДЕРЖАЩАЯ ОПИСАНИЕ ПРОЦЕССОВ, ОБЕСПЕЧИВАЮЩИХ ПОДДЕРЖАНИЕ ЖИЗНЕННОГО ЦИКЛА ПО, УСТРАНЕНИЯ

Подробнее

Краткая информация. Обзор. О курсе. Профиль аудитории. По окончании курса По окончании курса слушатели смогут:

Краткая информация. Обзор. О курсе. Профиль аудитории. По окончании курса По окончании курса слушатели смогут: 20489 A: Разработка продвинутых решений на базе Microsoft SharePoint Server 2013 20489 A Разработка продвинутых решений на базе Microsoft SharePoint Server 2013 Содержание Краткая информация... 2 Обзор...

Подробнее

Авторизация в ArcGIS Online и Portal for ArcGIS с точки зрения разработки приложений

Авторизация в ArcGIS Online и Portal for ArcGIS с точки зрения разработки приложений Авторизация в ArcGIS Online и Portal for ArcGIS с точки зрения разработки приложений При обращении к закрытым ресурсам, которые хранятся на ArcGIS Server, ArcGIS Online или Portal for ArcGIS и защищены

Подробнее

Службы удаленных рабочих столов Microsoft для приложений 1С. Принципы и сценарии применения Пошаговое руководство по настройке

Службы удаленных рабочих столов Microsoft для приложений 1С. Принципы и сценарии применения Пошаговое руководство по настройке Службы удаленных рабочих столов Microsoft для приложений 1С Принципы и сценарии применения Пошаговое руководство по настройке Апрель 2012 Содержание Введение... 3 Что такое служба удаленных столов RDS...

Подробнее

Рабочие группы и домены SETI.UCOZ.RU

Рабочие группы и домены SETI.UCOZ.RU Рабочие группы и домены Рабочая группа это логическая группировка компьютеров, объединенных общим именем для облегчения навигации в пределах сети. Принципиально важно, что каждый компьютер в рабочей группе

Подробнее

Аннотация проекта (ПНИЭР), выполняемого в рамках ФЦП «Исследования и разработки по приоритетным направлениям развития научнотехнологического

Аннотация проекта (ПНИЭР), выполняемого в рамках ФЦП «Исследования и разработки по приоритетным направлениям развития научнотехнологического Аннотация проекта (ПНИЭР), выполняемого в рамках ФЦП «Исследования и разработки по приоритетным направлениям развития научнотехнологического комплекса России на 2014 2020 годы» Номер соглашения о предоставлении

Подробнее

ПРОГРАММНЫЙ КОМПЛЕКС RAPID SCADA Техническое описание Часть 1. Обзор комплекса

ПРОГРАММНЫЙ КОМПЛЕКС RAPID SCADA Техническое описание Часть 1. Обзор комплекса ПРОГРАММНЫЙ КОМПЛЕКС RAPID SCADA Техническое описание Часть 1. Обзор комплекса Содержание Назначение и характеристики программного комплекса... 2 Архитектура программного комплекса... 3 Описание приложений,

Подробнее

ADOBE FLASH PLAYER Менеджер локальных настроек

ADOBE FLASH PLAYER Менеджер локальных настроек ADOBE FLASH PLAYER Менеджер локальных настроек Юридическая информация Юридическая информация Юридическая информация доступна на веб-сайте http://help.adobe.com/ru_ru/legalnotices/index.html. iii Содержание

Подробнее

MS-6231B Поддержка баз данных Microsoft SQL Server 2008 R2

MS-6231B Поддержка баз данных Microsoft SQL Server 2008 R2 MS-6231B Поддержка баз данных Microsoft SQL Server 2008 R2 Продолжительность 40 академических часов. Этот авторизованный пятидневный курс Microsoft под руководством инструктора позволяет приобрести навыки

Подробнее

Информационное сообщение о программном продукте IBM Europe, Middle East and Africa ZP от 7 апреля 2009 г.

Информационное сообщение о программном продукте IBM Europe, Middle East and Africa ZP от 7 апреля 2009 г. ZP09-0131 от 7 апреля 2009 г. IBM InfoSphere Warehouse for DB2 для z/os версии 9.5.2 представляет собой масштабируемое, отказоустойчивое и недорогое инфраструктурное решение для создания критически важных

Подробнее

Профиль аудитории Этот курс рекомендован для операторов и администраторов, которым необходимо управлять решением XenDesktop 7.6

Профиль аудитории Этот курс рекомендован для операторов и администраторов, которым необходимо управлять решением XenDesktop 7.6 CXD-203: Управление приложениями и решениями для рабочих столов при помощи XenApp и XenDesktop 7.6 CXD-203: Managing App and Desktop Solutions with Citrix XenDesktop 7.6 Содержание Краткая информация...

Подробнее

ПЕРСПЕКТИВЫ БЕЗОПАСНОЙ ИНТЕГРАЦИИ РЕСУРСОВ В ЦИФРОВОМ ПРОСТРАНСТВЕ

ПЕРСПЕКТИВЫ БЕЗОПАСНОЙ ИНТЕГРАЦИИ РЕСУРСОВ В ЦИФРОВОМ ПРОСТРАНСТВЕ ПЕРСПЕКТИВЫ БЕЗОПАСНОЙ ИНТЕГРАЦИИ РЕСУРСОВ В ЦИФРОВОМ ПРОСТРАНСТВЕ В своем выступлении я хотел бы рассмотреть проблему санкционированного использования электронных цифровых ресурсов в процессе их интеграции

Подробнее

Пятьсот конечных точек за пять секунд

Пятьсот конечных точек за пять секунд Краткая сводка отчета Пятьсот конечных точек за пять секунд Tolly Group подтверждает быстродействие McAfee Real Time Command Когда происходят события безопасности, вам становится нужна актуальная и точная

Подробнее

РЕДАКЦИИ SAP SYBASE POWERDESIGNER

РЕДАКЦИИ SAP SYBASE POWERDESIGNER РЕДАКЦИИ SAP SYBASE POWERDESIGNER Sybase PowerDesigner EnterpriseArchitect Редакция SAP Sybase PowerDesigner EnterpriseArchitect представляет собой средство моделирования и проектирования предприятия,

Подробнее

Каталог услуг Mitel Professional Services для унифицированных коммуникаций и совместной работы

Каталог услуг Mitel Professional Services для унифицированных коммуникаций и совместной работы Каталог услуг Mitel Professional Services для унифицированных коммуникаций и совместной работы МОСКВА ВЕРСИЯ 1.0 СОДЕРЖАНИЕ ОБЗОР УСЛУГ... 3 1. ТЕХНИЧЕСКИЕ КОНСУЛЬТАЦИИ И ПРОЕКТИРОВАНИЕ... 5 2. ОЦЕНКА

Подробнее

Kaspersky Endpoint Security 8 для Windows Kaspersky Security Center. Защита на опережение

Kaspersky Endpoint Security 8 для Windows Kaspersky Security Center. Защита на опережение Kaspersky Endpoint Security 8 для Windows Kaspersky Security Center Защита на опережение Лидер российского рынка Защита почти 300 миллионов рабочих мест Почти 10 миллионов активаций продуктов в месяц 220

Подробнее

Облачные технологии. Мифы и реальность. Мария Бартенева Директор по консалтингу

Облачные технологии. Мифы и реальность. Мария Бартенева Директор по консалтингу Облачные технологии Мифы и реальность Мария Бартенева Директор по консалтингу mbarteneva@telecomguard.ru www.telecomguard.ru Повестка Основные понятия Мифы Выводы 2 Что такое «Облако»? Оборудование Вычислительные

Подробнее

Microsoft Office 365 от «Билайн» Бизнес

Microsoft Office 365 от «Билайн» Бизнес Microsoft Office 365 от «Билайн» Бизнес Office 365 = Все инструменты для бизнеса Оffice 365 подходит для бизнеса любого размера Возможность покупки как пакетных предложений, так и отдельных сервисов Оперативное

Подробнее

IBM Software Assembly Toolkit 3.2 позволяет сэкономить средства и уменьшить число ошибок при автоматизации развертывания решений

IBM Software Assembly Toolkit 3.2 позволяет сэкономить средства и уменьшить число ошибок при автоматизации развертывания решений ZP09-0256 от 14 июля 2009 г. IBM Software Assembly Toolkit 3.2 позволяет сэкономить средства и уменьшить число ошибок при автоматизации развертывания решений Содержание 1 Краткое описание 3 Планируемые

Подробнее

Предисловие Об этой книге Читательская аудитория Цели книги Структура книги Правовые вопросы Благодарности...

Предисловие Об этой книге Читательская аудитория Цели книги Структура книги Правовые вопросы Благодарности... Содержание Предисловие..................................................... 14 Об этой книге............................................................ 14 Читательская аудитория................................................

Подробнее

Kaspersky Internet Security Контроль программ

Kaspersky Internet Security Контроль программ Контроль программ Контроль программ Что такое Контроль программ Компонент Контроль программ вkis 2012 предотвращает выполнение программами опасных для системы действий, а также обеспечивает контроль доступа

Подробнее

10711 А: Настройка, управление и диагностика Microsoft Exchange Server 2010

10711 А: Настройка, управление и диагностика Microsoft Exchange Server 2010 10711 А: Настройка, управление и диагностика Microsoft Exchange Server 2010 10711 А: Настройка, управление и диагностика Microsoft Exchange Server 2010 Содержание Краткая информация... 2 Обзор... 2 О курсе...

Подробнее

УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки "Разработка бизнес-приложений на Java"

УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки Разработка бизнес-приложений на Java УЧЕБНЫЙ ПЛАН программы профессиональной переподготовки "Разработка бизнес-приложений на Java" Цель обучения: Получение необходимых знаний и практических навыков для выполнения задач разработки бизнес-приложений

Подробнее

Расширяйте возможности вашего бизнеса с Windows Server и Intel Technologies

Расширяйте возможности вашего бизнеса с Windows Server и Intel Technologies Расширяйте возможности вашего бизнеса с Windows Server и Intel Technologies Windows Server 2016 Оптимальное решение для развития вашего бизнеса В стремительно меняющемся мире бизнеса требуется новый стиль

Подробнее

Облачные вычисления. Уже сейчас 70% сотрудников Microsoft создают решения, связанные с облачными вычислениями. В течение года их число достигнет 90%.

Облачные вычисления. Уже сейчас 70% сотрудников Microsoft создают решения, связанные с облачными вычислениями. В течение года их число достигнет 90%. Облачные вычисления Уже сейчас 70% сотрудников Microsoft создают решения, связанные с облачными вычислениями. В течение года их число достигнет 90%. 2010г. Стив Балмер, генеральный директор Microsoft Облако

Подробнее

ESET Security для Kerio

ESET Security для Kerio ESET Security для Kerio Версия 4.5 Описание продукта Версия 1.0 Краткая информация о продукте ESET Security для Kerio версии 4.5 сочетает в себе высокую продуктивность и функции продукта ESET File Security,

Подробнее

Инструменты управления проектами

Инструменты управления проектами Инструменты управления проектами Андрей Страхов 4 марта 2010 Архитектор отдела консалтинговых проектов. Инструктор A_Strakhov@eureca.ru Часть 4 КРАЕВЫЕ УСЛОВИЯ 2 Обзор Реализация IT инфраструктуры Вопросы

Подробнее

Новые продукты VMware для управления пользовательским окружением. VMware, Inc., Все права защищены.

Новые продукты VMware для управления пользовательским окружением. VMware, Inc., Все права защищены. Новые продукты VMware для управления пользовательским окружением VMware, Inc., 2009-2011. Все права защищены. Краткое содержание Horizon Suite новый подход к пользовательскому окружению! VMware View: решение

Подробнее

20347 A: Подключение и управление Office A: Enabling and Managing Office 365

20347 A: Подключение и управление Office A: Enabling and Managing Office 365 20347 A: Подключение и управление Office 365 20347 A: Enabling and Managing Office 365 Содержание Краткая информация... 2 Обзор... 2 О курсе... 2 Профиль аудитории... 2 По окончании курса... 2 Детальная

Подробнее

Система управления и контроля

Система управления и контроля В качестве введения Внедрение новых информационных технологий и в частности: систем централизованной обработки данных на базе ЦОД, систем виртуализации, применение технологий облачных сервисов, в настоящее

Подробнее

Модуль защиты информации от несанкционированного доступа «IRTech Security» Руководство по КСЗ

Модуль защиты информации от несанкционированного доступа «IRTech Security» Руководство по КСЗ Модуль защиты информации от несанкционированного доступа «IRTech Security» Руководство по КСЗ 2 АННОТАЦИЯ Настоящий документ является руководством по комплексу встроенных средств защиты информации (КСЗ)

Подробнее

Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных

Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных Приказ ФСТЭК России от 5.02.2010 N 58 зарегистрирован в Минюсте России 19.02.2010 16456 В соответствии

Подробнее

Технологический стек и подход к разработке портальных b2b-решений

Технологический стек и подход к разработке портальных b2b-решений Технологический стек и подход к разработке портальных b2b-решений 2016 > 90 штатных специалистов > 500 проектов реализовано с 2002 года Полный технологический цикл: от проектирования и дизайна до программной

Подробнее

Оптимальное управление центром обработки данных при помощи средств управления системами от Cisco и Microsoft

Оптимальное управление центром обработки данных при помощи средств управления системами от Cisco и Microsoft Официальный документ Оптимальное управление центром обработки данных при помощи средств управления системами от Cisco и Microsoft Обзор Cisco постоянно предлагает инновационные идеи, помогая компаниям

Подробнее

Подход и методы построения доверенных платформ для распределённой инфраструктуры

Подход и методы построения доверенных платформ для распределённой инфраструктуры Подход и методы построения доверенных платформ для распределённой инфраструктуры Ренат Юсупов Москва, 2013 Оценка уровня угроз (root-, boot-, bios-kit) По данным McAfee 2 3 Потенциальные уязвимости x86

Подробнее

Рабочая программа учебного модуля «Основы построения и функционирования компьютерных сетей»

Рабочая программа учебного модуля «Основы построения и функционирования компьютерных сетей» Государственное бюджетное учреждение дополнительного профессионального образования «Санкт-Петербургский центр оценки качества образования и информационных технологий» Рабочая программа учебного модуля

Подробнее

Безопасность облачных вычислений. Бешков Андрей Руководитель программы информационной безопасности

Безопасность облачных вычислений. Бешков Андрей Руководитель программы информационной безопасности Безопасность облачных вычислений Бешков Андрей Руководитель программы информационной безопасности E-mail: abeshkov@microsoft.com Twitter: @abeshkov Содержание Вопросы безопасности «облачных» технологий

Подробнее

Репозиторий БНТУ / 229. Перспективы развития сетей передачи данных. А. Г. Новиков, П. В. Певнев, руп «БМЗ»

Репозиторий БНТУ / 229. Перспективы развития сетей передачи данных. А. Г. Новиков, П. В. Певнев, руп «БМЗ» 1 (54), 2 (55), 2010 / 229 The perspectives of development of data networks at RUP «BMZ» are examined. А. Г. Новиков, П. В. Певнев, руп «БМЗ» Перспективы развития сетей передачи данных на РУП «БМЗ» На

Подробнее

Долженков Дмитрий Консультант по решениям Microsoft Россия

Долженков Дмитрий Консультант по решениям Microsoft Россия Долженков Дмитрий Консультант по решениям Microsoft Россия a-dmdolz@microsoft.com 2 Какие задачи нам ставит бизнес? Кто и откуда получает доступ? Безопасность периметра сети Ограничение доступа сотрудников

Подробнее

Резервное копирование и восстановление в средах VMware с помощью Avamar 6.0

Резервное копирование и восстановление в средах VMware с помощью Avamar 6.0 Белая книга Резервное копирование и восстановление в средах VMware с помощью Avamar 6.0 Детальный обзор Краткий обзор В условиях интенсивного превращения виртуальных сред в корпоративные облака обнаружилось,

Подробнее

Руководство по быстрому запуску. McAfee Product Improvement Program 1.1.0

Руководство по быстрому запуску. McAfee Product Improvement Program 1.1.0 Руководство по быстрому запуску McAfee Product Improvement Program 1.1.0 АВТОРСКОЕ ПРАВО Copyright 2013 McAfee, Inc. Запрещается копирование материалов без разрешения. ПРАВА НА ТОВАРНЫЕ ЗНАКИ McAfee, логотип

Подробнее