ДОСЛіДЖЕННЯ МОДЕЛі ЗАГРОЗ КЛЮЧОВИХ СИСТЕМ ХМАРИ ТА ПРОПОЗИЦії ЗАХИСТУ ВіД НИХ Текст научной статьи по специальности «Экономика и бизнес»



Викладаються результати розробки та аналiзу моделей загроз хмарних cepeicie та ключовим даним. Пропонуеться модель та профть порушника, загальн мехатзми захисту ключiв, а також висуваються пропо-зици з оцтки ризитв з використанням ятсних та кшь-тсних показнитв. В подальшому результати дослиджень можуть бути використаш при проведенн експертизи, оцтщ безпеки та ризитв хмарних 1ТС

Ключовi слова: хмарне середовище, управлтня ключами, модель порушника, мехатзми захисту, оцшка ризитв □-□

Излагаются результаты разработки и анализа моделей угроз облачных сервисов и ключевым данным. Предлагается модель и профиль нарушителя, общие механизмы защиты ключей, а также выдвигаются предложения по оценке рисков с использованием качественных и количественных показателей. В дальнейшем результаты исследований могут быть использованы при проведения экспертизы, оценки безопасности и рисков облачных ИТС Ключевые слова: облачная среда, управление ключами, модель нарушителя, механизмы защиты, оценка рисков

УДК 004.75

|DOI: 10.15587/1729-4061.2015.50912|

ДОСЛ1ДЖЕННЯ МОДЕЛ1 ЗАГРОЗ КЛЮЧОВИХ СИСТЕМ ХМАРИ ТА ПРОПОЗИЦП ЗАХИСТУ В1Д НИХ

I. Ф. Аулов

Астрант Кафедра безпеки шформацшних технолопй Хармвський нацюнальний ушверситет радюелектронки пр. Ленша, 16, м. Хармв, УкраТна, 61166 E-mail: aulov@iit.kharkov.ua

1. Вступ

Ниш до хмарних технологш та реалiзащi на 1х основi хмарних обчислень проявляеться велика защ-кавлешсть, а технолопчно розвинен держави iх уже реалiзували та широко застосовують. Використання технологш хмарних обчислень дозволяе досягти ряд переваг, основними з них е таю, як [1]: гнучюсть, об-числювальна потужшсть, великий обсяг файлового сховища, рiзноманiтнiсть програмного забезпечення; повсякчасна можливкть доступу до ресурав в хмарi та швидке розгортання сервкпв, можливкть збшьшен-ня навантаження в хмарг, простота масштабування, резервування та самовщновлення; можливiсть управ-лшня навантаженнями та здiйснення монiторингу в реальному час тощо.

З точки зору здшснення захисту iнформацii також маються переваги, основними з яких е таю, як [1]:

- практична можлившть централiзованого керу-вання конф^уращею, рiвнем безпеки та здшснення аудиту;

- можливкть динамiчного масштабування ресур-сiв системи, резервування та аваршного вiдновлення при збоях;

- як правило, наявшсть штатних пiдроздiлiв, якi повиннi забезпечувати безпеку шформацп при хмар-них обчисленнях;

- централiзоване розмiщення програмного та про-грамно-апаратного забезпечень захисту iнформацii та захисту даних вщповщно прийнятих полггик безпеки тощо.

До основних недолiкiв використання хмарних обчислень ввдносяться [1, 3]: неможливкть роботи з сервисами хмари без постiйного тдключення до мережi

1нтернет; неможливий або складний процес змши постачальника хмарних послуг; недостатнiсть единого мiжнародного та нащонального правового регулюван-ня в сферi хмарних обчислень та обробки шформацп; необхщшсть високоi довiри до постачальника послуг користувачiв; складнiсть надання користувачам основних послуг з безпеки шформацп тощо.

Також при хмарних обчисленнях маються суттевi проблеми вщносно гарантш надання послуг з безпеки шформацп, основними з них е таю [1-3]:

- практично втрата контролю над мехашзмами захисту шформацп та прикладного програмного за-безпечення хмари;

- наявшсть прившегшованих користувачi та адмь нiстраторiв безпеки хмари, що можуть мати доступ до програмного забезпечення та даних користувачiв;

- складшсть механiзмiв здшснення аналiзу, оцшки ефективностi та протидii загрозам;

- осюльки хмара е багатокористувацьким серед-овищем, то можливий виток конфщенцшшл шфор-мацii, порушення ii щлкносп, справжностi, а також порушення прав власностг,

- проблемнiсть надання якiсноi послуги доступно-стi при вщсутност чи неякiсному 1нтернет з'еднаннi;

- проблема управлшня конфiденцiйними та осо-бистими ключовими даними, сертифiкацii та ввднов-лення компрометованих ключових даних та ключовоi iнформацii.

2. Аналiз лiтературних джерел та постановка проблеми

Шдвищений штерес до впровадження хмарних cepBiciB та ix активне застосування зумовило появу

нових мiжнародних та закордонних державних стан-дарив, роз'яснень та рекомендацiй з використання хмарних сервкпв та забезпечення безпеки в середо-вищi хмари. O^iM провiдних державних органiзацiй бвропи та США: бвропейського агентства мережевоï та iнформацiйноï безпеки (ENISA) i Нацiонального iнституту стандартiв i технологш (NIST), питання-ми стандартизацiï займаеться комiтет мiжнародноï органiзацiï з стандартизацп ISO/IEC JTC 1/SC 27, та об'еднання представниюв IT-iндустрiï в сферi хмарних технологiй - Альянс безпеки в хмарi (Cloud Security Alliance, CSA).

Аналiзу iснуючих загроз, побудовi моделей загроз та порушника в хмарi присвячено низку публiкацiй [2-4]. Так, в робот [2], розглядае питання безпеки ключiв, довiри до провайдера, управлшня ризиками, безпекою архггектури хмарного середовища, управ-лiння доступом, захисту даних та iзоляцiï програм. Подальший розвиток його робота знайшла в якостi рекомендацiй NIST SP 800-144 [3].

В стати [4], проводиться детальний аналiз кнуючих загроз хмарних обчислень з урахуванням стандарпв та рекомендацп, що розробляються NIST, ISO\IEC, CSA.

В роботi [5] аналiзуються доступнi механiзми захисту вiртуального середовища в хмарi при використанш моделi розгортання IaaS. До розглянутих методiв захисту вщносяться: захист образiв вiртуальних машин вщ порушення цiлiсностi, конфiденцiйностi та доступности налаштування захисту образiв вiртуальних машин вiд вiрусiв та шпигунського ПЗ, захист внутрiшнiх мереж. Аналiз питань безпеки управлiння ключами в хмарi проводиться в роботi [6].

Авторами роботи [7] робиться аналiз сучасного стану стандартизацп в област забезпечення безпеки хмарних обчислень та пропонуеться тдхщ з аналiзу ризиюв, що дозволяе оцiнити вiдповiднiсть хмарного ршення заявленим рiвням безпеки.

Суттевий вплив на аналiз та ощнку ризикiв в хма-рi справила робота дослщниюв з органiзацiï ENISA, якi розвинули '¿х iдеï [1]. Так в робой [8] пропонуеться використовувати динамiчну стратегiю управлшня ризиками, в робой [9] з запропонованих в стандарт ISO/IEC 31010 методiв в якостi динамiчного методу пропонуеться байесовшький пiдхiд. Подальший розвиток робота [8] знайшла в публжацп [10] в якш автори розробили таксономт атак та ощнки ризикiв для хмарних сервiсiв, що базуеться на щентифжацп, класифiкацiï i приоритетах.

Аналiз джерел показав, що найбшьша увага при-дiляеться аналiзу, класифiкацiï та побудовi моделей загроз та порушника для хмари при цьому питання мо-делi загроз управлiння ключами та ключовими даним недостатньо розробленi.

В той же час ниш застосування хмарних технологш користувачами, як показав аналiз, в суттевш мiрi залежить ввд довiри до управлiння ключовими даними в плаш захисту ввд виявлених загроз.

3. Мета та задачi дослщження

Метою дослiдження е аналiз стану безпечного управлiння ключовими даними та ключовою шфор-мащею, обгрунтування та розробка моделi загроз ком-

прометацiï ключiв, а також обгрунтування, вибiр та оцiнка механiзмiв безпечного управлiння ключовою iнформацiею в хмарь

Для досягнення поставленоï мети в робой виршу-валися наступш задачi:

- розробка моделi загроз ввдносно хмарних сервiсiв та управлшня ключовими даними;

- розробка моделi та профшю порушника хмарних сервгав та управлiння ключовими даними;

- вибiр механiзмiв безпечного управлiння ключами;

- вибiр методiв оцiнки ризиюв для хмарних сервь сiв з використанням кшьюсних та якiсних показниюв.

4. Матерiали та методи дослщжень

4. 1. Вимоги до ключових даних в середовищi хмарних обчислень

Аналiз показав, що станом на сьогодш ряд закордонних держав тдготували та опублiкували низку стандартв та рекомендацiй, в яких провщну роль ввд-грають США [7].

Хмарш обчислення - це модель забезпечення повсюдного та зручного доступу через мережу до сильного пулу обчислювальних ресурав, що тдлягають налаштуванню, наприклад, до комушкацшних мереж, серверiв, засобiв збереження даних, прикладних програм та сервгав тощо. Вони можуть бути оперативно надаш та звiльненi з мжмальними експлуатацш-ними затратами або зверненням до провайдера [11]. Основними моделями розгортання хмарних сервгав е такк приватна, громадська, публiчна та пбридна хмари. Ознакою тако1 класифiкацii е категорп корис-тувачiв, що мають доступ та можуть використовувати ресурс та даш хмари. При цьому постачальники хмарних ресурив можуть надавати, а користувачi отриму-вати таю послуги, як [11]: програмне забезпечення як послуга (SaaS), платформа як послуга (PaaS) та шфра-структура як послуга (IaaS).

Аналiз показуе, що незалежно вiд моделi розгортання та обслуговування хмари, ва ключi, що вико-ристовуються в середовищi хмарних обчислень, можна подшити за призначенням та власником на таю два класи [6]:

- ключ^ що використовуються провайдером хмарних послуг та е його власшстю;

- ключ^ що використовуються клiентами провайдера хмарних послуг та е iх власшстю.

Наприклад, якщо хмара розгорнута як публiчна та надае послуги PaaS, то користувач хмари на осно-вi сервiсу, що надаеться провайдером, реалiзуе своi рiшення, послугами якого користуються клiенти ко-ристувача. За цих умов користувач для своiх клiентiв буде виступати в якост провайдера хмарних послуг, а отже в цьому випадку будуть шнувати також два класи ключiв:

- клас ключiв провайдера хмарних послуг, до якого ввдносяться ключi провайдера хмарних послуг публiч-ноi хмари, що надае послуги PaaS та ключi користува-ча хмари, по вщношенню до клiентiв користувача;

- клас ключiв користувача хмарних послуг, до якого вщносяться по вщношенню до провайдера хмарних послуг, ключi користувача хмарних послуг та ключi клiентiв користувача хмарних послуг.

Аналопчним чином можна видшити та показати кнування лише двох клас1в ключ1в для шших моделей розгортання та надання послуг в хмар1 [6]. Така модель хмари, у якш кнуе тшьки дв1 рол1 - користу-вач та провайдер, на в1дмшу в1д модел1 ШБТ, дозво-ляе зменшити складшсть анал1зу безпеки управлшня ключами, включаючи крипто живучкть. Це досяга-еться за рахунок виключення рол1 аудитора хмари, яка виступае в якост пасивного елементу хмари, та мае доступ до хмари лише шд час проведення аудиту з використанням строгого перелшу доступних мож-ливостей.

Вказане е справедливим i до посередника (брокера) хмарних послуг, який для провайдера хмарних послуг розглядаеться з точки зору кл1ента, а для кль ента брокер е провайдером хмарних послуг. Теж саме можна прийняти i до транспортувальника хмарних послуг - в модел! безпеки його головною задачею повинно бути забезпечен-ня доступной серв^в, забезпечення конфщенцшшсть та щлкшсть даних, що передаються забезпечуеться тшьки користувачем та провайдером хмарних послуг.

Грунтуючись на наведеному, роз-

глянемо модель порушника хмарних

обчислень, на основ1 яко' побудуемо

модель загроз в1дносно управлшня

ключовими даними. Аудит

продуктивност!

На рис. 2 наведена розроблена на основ1 рис. 1 модель порушника.

В табл. 1 наведено запропонований в1дносно хмарних серв^в на основ1 [3] та рис. 1 профшь порушника. Вш включае так основш категорii, як: категор1я оаб; характер дiй; рiвень доступу та можливостей; рiвень ознайомленосп; методи та засоби, що використову-ються, та мету дiй.

На основi наведеного вiдносно хмарних серв^в профiлю порушника розроблено та запропоновано модель загроз (рис. 2), у якш у формалiзованiй формi також мктиться модель порушника. У нш формалiза-цiя зроблена на основi даних табл. 1.

В табл. 2 наведено запропонований основний пе-релш загроз для середовища хмари, модель яко' наведено на рис. 1, та порушника, профшь якого наведено в табл. 1.

Користувач хмари

Аудитор хмари

Аудит безпеки

Аудит впливу на конфщенцгашсть

4. 2. Модель порушника 1ТС хмарних обчислень

Побудовi моделей порушника та загроз вщносно хмарних cepBiciB при-свячено ряд роб^ [2-4]. При 'ix по-будовi застосовуеться методика, що грунтуеться спочатку на побудовi моделi порушника, виявленш усix можливих загроз та визначенш спосо-6iB ix реалiзацп, а на останок - побудовi моделi загроз. Побудованi моделi порушника та загроз дозволяють сформулювати вимоги до системи захисту шформацп в середовишд хмарних обчислень.

Орiентуючись на [3], шд моделлю порушника буде-мо розум^и абстрактний формалiзований чи нефор-малiзований опис дiй порушника, який вщображае його практичнi та теоретичш можливостi, апрiорнi знання, час та мкце дп тощо.

Складнiсть побудови моделi порушника для шфор-мацшно-телекомушкацшно'' системи (1ТС) хмарних обчислень полягае в необхщност врахування моделi розгортання хмари, моделi надання послуг, власника та рiвень контролю шформацп, а також рiвень контролю провайдера та користувачiв над iнфраструктурою хмари [3]. Також така модель мае бути ще адекватною реальному порушнику.

Аналiз моделi хмари NIST (рис. 1) показуе, що по вщношенню до 1ТС хмари порушники можуть бути внутр^шми (з числа спiвробiтникiв, користувачiв системи) або зовшшшми (стороннi особи). Особливу небезпеку в середовищд хмарних обчислень станов-лять внутрiшнi порушники. Навт при наданнi послуг на рiвнi IaaS [3], внутрiшня iнфраструктура хмари, в тому чи^ i середовище передачi даних, контролюеть-ся провайдером хмарних послуг.

Постачальник хмарних послуг

Склад

Р1вень моделей надання послуг: SaaS

(ЖЮ Г IaaS )

Р1вень абстракцй pecypcip та управлшня

Р1вень ф1зичних

pecypciß AnapaTHi засоби

Допом1жш засоби

Функци управлшня хмарою

ГПдтримка 01знесу

Налаштування та мошторинг роботи хмари

IlepeHocnMicTb та

штероперабел.

Хмарний брокер

Функщя агрегаци

Функщя арб1тражу

Постачальник доступу до хмарних послуг

Рис. 1. Модель хмарних обчислень (cepBiciB) NIST

Наведена на рис. 1 модель визначае:

- категорп осiб, з числа яких може бути порушник;

- припущення про рiвень можливостей, квалiфi-кацш, рiвень ознайомлення з системою, характер дш порушника;

- методи та засоби, що може використовувати по-рушник;

- мета, яку перед собою ставить порушник;

- елементи системи, як порушник буде атакувати. За категорiею оаб порушниками можуть бути [2]:

- внутр^ш порушники: прашвники провайдера хмарних послуг, прашвники користувача, сторонш особи, що отримують доступ до ресурсiв 1ТС хмари. Для ''х визначення слiд детально розглянути можливо-стi несанкцiонованого доступу до ресурсiв 1ТС кожного iз прашвниюв провайдера та користувача, а також можливост стороннix осiб щодо несанкцюнованого доступу до ресурсiв 1ТС з урахуванням наявно'' системи оргашзацшного обмеження ''х доступу;

- зовшшш порушники: iншi особи, що не мають безпосереднього доступу до ресурав 1ТС хмари. Для ''х визначення слщ детально розглянути можливi кана-ли витоку шформацп та вразливi мiсця системи.

За рiвнем можливостей порушниюв, згiдно [2], роз-дшимо на чотири класи:

- перший рiвень припускае можливiсть запуску фшсованого набору завдань (програм), що реалiзують заздалегiдь передбаченi функцп обробки шформацп;

- другий рiвень визначаеться можливiстю ство-рення i запуску власних програм з новими функщями обробки шформацп;

- третш рiвень визначаеться можливштю управ-лiння функцiонуванням 1ТС хмари, тобто впливом на базове програмне забезпечення системи, на склад i конф^уращю ii устаткування;

- четвертий рiвень визначаеться в«м обсягом можливостей осiб, що здшснюють проектування, ре-алiзацiю i ремонт апаратних компоненпв 1ТС хмари, з можливктю включення до складу 1ТС хмари власних засобiв з новими функщями обробки шформацп.

Таблиця 1

Профть порушника вщносно хмарних сервюв

№ Категорiя Значения (Позначення)

1 Категорiя осiб внутршнш (В)

зовшшнш (З)

2 Характер дш випадковий (В)

пасивний (П)

активний (А)

3 Рiвень доступу та можливо-стеи перший рiвеиь (1)

другий рiвень (2)

третiй рiвень (3)

четвертий рiвеиь (4)

4 Рiвень ознайомле-носп користувач (К)

спещалют (С)

адмшютратор системи (А)

спещашст з найвищим рiвнем знань (Н)

адмшютратор безпеки (Б)

5 Методи та засоби агентуры (Р)

штатиi (Ш)

пасивш (П)

активиi (А)

6 Мета дш порушника отримання атрибупв доступу персоналу чи користувачiв АС (О)

отримання несанкщонованого доступу до обчислювальних ресурсiв хмари (НСД)

проникнення на територт хмарного ЦОД з метою впливу на фiзичне обладнання (ВФ)

змша режимiв фуикцiоиуваиия чи виводу з ладу фiзичних ресурав АС (М)

встановлення засобiв техшчно!' розвiдки (ТР)

встановлення техиiчиих засобiв нав'язування (ТЗН)

встановлення програмних закладок розвщки (ПЗР)

встановлення програмних засобiв иав'язуваиия (ПЗН)

За рiвнем ознайомлення з системою, порушниюв будемо класифiкувати за такими рiвнями, як [2, 11]:

- що не володтть спецiальними знаннями з обчис-лювальноi теxнiки та програмування, проектування та експлуатацп xмарноi 1ТС, а е лише користувачами сервису;

- що володiють базовим або високим рiвнем знань у галузi обчислювальноi теxнiки та програмування, проектування та експлуатацп хмарних 1ТС, а також базовим або високим рiвнем знать про системи захисту хмарних 1ТС;

- що володтть шформащею про функцiональнi особливостi визначено1 1ТС хмари,0CH0BHi 3aKOHOMip-HOCTi формування в нiй масивiв даних та потоюв запи-TiB до них, вмтть користуватися штатними засобами;

- що володiють високим рiвнем знань та досвiдом роботи з техшчними засобами системи хмари та 1хньо-го обслуговування;

- що володтть iнформацieю про функцп та меха-нiзм дп засобiв захисту в визначенш 1ТС хмари.

Аналiз показуе, що незалежно вiд моделi розгортання хмари та моделi надання послуг найнебезпечшшими порушниками в 1ТС хмари е адмiнiстратори хмари та ад-мiнiстратори безпеки хмари. Порушення з боку цих оаб можуть бути як ненавмисними, так i зловмисними. При цьому якщо «випадковий порушник» здiйснюе загрози 1ТС пiд час виконання сво1х функцiональних обов'язкiв внаслiдок помилкових дш, за рахунок неуважностi чи недбалосп, то порушник, що здiйснюе зловмисне порушення, чико розумiе сво1 дп та мае змогу проаналiзувати 1х вплив. Також необхiдно брати до уваги, що порушник в середовишд хмари може здшснювати активш чи пасивнi загрози ресурсам 1ТС чи АС. Пiд активною загрозою слiд розумiти навмиснi та не навмисш несанкцiонованi дп порушника, що призвели до змши стану 1ТС (АС), а тд пасивною загрозою - дп, що призвели до несанкщонова-ного проникнення в систему без змши ii стану.

За характером дш порушниюв можна класифжу-вати на [2, 3]:

- «випадковий порушник» - це користувач^ обслу-говуючий персонал, якi не навмисно подолали засоби управлшня (адмшштрування) доступом до об'екту захисту, виконали непередбачеш дii вiдносно цього об'екту, чим спричинили порушення полггики безпеки до об'екта захисту;

- «пасивний порушник» - авторизований користу-вач, або обслуговуючий персонал хмари, який навмис-но порушив полиику безпеки послуги, але не вживае ршучих дш. З метою прихованого подолання засобiв управлiння (адмiнiстрування), використовуе атрибу-ти доступу iнших користувачiв;

- «активний порушник» - порушник, який не при-ховуе своiх дiй та може використовувати ва доступнi методи та засоби для порушення властивосп захищеноi шформацп. До таких дш вiдносяться дп, що спрямованi на подолання оргашзацшного обмеження доступу, охо-ронноi сигналiзацii, управлiння доступом до фiзичних ресурав, фiзичний доступ до засобiв оброблення, зберь гання чи передавання шформацшних об'екпв з метою виведення iх з ладу, змiни режимiв функщонування, крадiжки чи пошкодження носпв тощо;

- «ввддалений порушник» - порушник, що використовуе засоби вщдаленого доступу до шформацшних об'екпв: виток шформацп техшчними каналами, спещ-альний вплив на шформащю по техшчним каналам, ме-режне обладнання локальних чи розподшених мереж, в тому чи^ i засоби телекомунiкацiйних мереж.

За методами та засобами, що використовуе поруш-ники, iх можна класифiкувати як таких, що використо-вують [2, 3]:

- виключно агентурнi методи одержання ввдомостей;

- пасивнi техшчш засоби перехоплення шформа-цiйних сигналiв;

- для реалiзацii спроб НСД виключно штатш засоби АС або недолжи проектування КСЗ1;

- способи i засоби активного впливу на АС, що змь нюють конф^уращю системи (тдключення додатко-вих або модифжащя штатних технiчних засобiв, тд-ключення до каналiв передачi даних, впровадження i використання спещального ПЗ тощо).

Також при подальших дослiдженнях будемо вважа-ти, що метою зловмисника, при здшсненш порушення, може бути наступне [1-3]:

- авторизащя та отриманш атрибутiв доступу з найбшьшими правами до ресурсiв 1ТС з метою '¿х використання для ознайомлення з конфщенцшною ш-формащею, ïï модифiкацiï чи знищення, використання обчислювальних ресурсiв хмари в своïх власних цiлях;

- пошук та/або здобуття атрибупв доступу особи з персоналу чи користувачiв АС, як мають атрибути доступу з найбшьшими правами, з метою заволодiння '¿х атрибутами доступу. Здобуття атрибутiв особи може бути реалiзовано шляхом використання техшчних за-собiв, крадiжок, кутвл^ чи отримання iншим шляхом;

- проникнення на мшця розмiщення тих чи шших компонентiв, елементiв чи ресурив АС (обчислювальних ресурав, iнформацiйних ресурсiв, базового, прикладного програмного забезпечення та програмного забезпечення системи ТЗ1, включаючи носп резервних копи, ресурив вводу/виводу, телекомунiкацiйного обладнання, включаючи мережу передачi даних) шляхом подолання перешкод (огорож^ елеменпв будiвельних конструкций, охорони чи oxopoHHo'i сигна.гп-зацiï та iн.) та нанесення збитюв шляхом знищення матерiальних та iнформацiйних цiн-ностей;

- змша режимiв функцiонування чи виво-ду з ладу ресурсiв АС;

- установка фiзичних засобiв (апаратур-них закладок) чи iнших засобiв технiчноï роз-вiдки в мшцях розмiщення елементiв АС (в тому чж^ i вiддалених, наприклад в еле-ментах комунiкацiйноï мережi зв'язку) для зшмання iнформацiï;

- установка фiзичних чи iнших засобiв (апаратурних закладок) в мкцях розмiщення елеменпв АС (в тому числi i вщдалених, наприклад, в елементах комунiкацiйноï мереж1 зв'язку) для генерацп несправжнiх сигналiв, iнформацiйних символiв чи поввдомлень;

- установка програмних засобiв (програмних закладок) знiмання шформацп з метою ïï того чи шшого використання;

- установка програмних засобiв (програмних закладок чи вiрусiв) для модифь кацiï як програмних засобiв, так i шформацп АС, шляхом генерацп (впровадження) програмних вiрусiв, несправжшх сигналiв, шформацшних символiв чи повiдомлень з метою перевантаження систем АС i порушен-ня, таким чином, доступноси компонентiв АС чи АС в щлому;

- здшснення спроб несанкщонованого доступу до обчислювальних ресурив, шформацшних ресурсiв, базового та прикладного програмного забезпечення та програмного за-безпечення системи ТЗ1 як власне АС, так i ïï телекомунiкацiйноï тдсистеми шляхом подолання системи управлшня доступом.

Важливим також е визначення та використання в мо-делi того, яким чином загрози можуть бути реалiзованi при хмарних обчисленнях. Грунтуючись на [3, 11], будемо вважати, що вони реалiзуються наступними способами:

- техшчними каналами, що включають канали по-бiчних електромагштних випромiнювань i наводок, акустичнi, вiброакустичнi, акустоелектричнi, оптичнi, радiо- та радютехшчш, хiмiчнi та iншi канали;

- каналами спещального впливу шляхом форму-вання полiв i сигналiв з метою руйнування системи захисту або порушення щлкност шформацп;

- несанкщонованим доступом шляхом тдключення до апаратури та лшш зв'язку, маскування тд заре-естрованого користувача, подолання заходiв захисту з метою використання шформацп або нав'язування хибноï шформацп, застосування закладних пристроïв чи програм та вкоршення комп'ютерних вiрусiв, як на сторош користувача так i провайдера хмарних послуг.

4. 3. Модель загроз вщносно хмарних сервюв

Наведеш вище в п. 4. 2 потенцшш можливостi порушника дозволили розробити модель загроз вщносно хмарних сервгав (обчислень). Детально опис тако'1 моделi загроз наведена в табл. 2. В нш на основi рис. 2 вказуеться об'ект, для якого реалiзуеться загроза, мета порушника, ймовiрнiсть загрози та мета здшснення захисту.

Рис. 2. Модель загроз для 1ТС хмарних обчислень

Загрози в середовищi хмари

Загроза Об'ект для якого реал1зуеться загроза Мета Ймовiрнiсть загрози Методи захисту

З.1 Управлшня та мошторинг безпеки хмари Отримання несанкцюнованого доступу до хмари низька Використання систем з контролю доступу, поллики безпеки, атестащя персоналу

З.2 Обладнання з контролю доступу Отримання несанкцюнованого доступу до хмарних ресурав чи управлшня хмарою висока Використання захищених носив ключа для автентифшаци

3.3 Середовище хмари: сервюи, додатки та шфраструктура Порушення сервюами, додатками та об'ектами шфраструктури прав доступу. Несанкцюнований доступ до функцш управлшня шфраструктурою, даних сервiсiв та додатгав користувача хмари. Зараження шпигунським ПЗ та вiрусами висока Використання технологш розмежування та обмеження доступу, контроль над щлюшстю об'ектiв та 1х монiторинг

З.4 Ресурси хмари Отримання несанкцюнованого доступу до файшв, запиав БД або використання обчислювальних ресурав висока Впровадження механiзмiв обмеження доступу, шифрування даних, монiторинг роботи

З.5 В1ртуальш мережi в межах хмарно'1 шфраструктури Прослуховування трафiку, порушення цiлiсностi, доступности органiзацiя атак DDoS, несанкцiоноване шдключення до мережi висока Використання засобiв захисту даних в мережу систем виявлення та протидй мережевим атакам, мошторинг роботи

З.6 Гiпервiзор Повний контроль над розгорнутим вiртуальним середовищем низька Захист гiпервiзора та контроль доступу до його налаштувань

З.7 Фiзичне обладнання Встановлення заа^в несaнкцiоновaного доступу, модифшаци та знищення шформацп. Порушення доступносл ЦОД низька Використання систем контролю доступу, поллики безпеки, атестащя персоналу. Встановлення контрольовано'1 зони

З.8 Допомiжнi системи (живлення, охорони, безпеки, охолодження) низька

З.9 Управлшня та мошторинг роботи хмари Отримання несанкцюнованого доступу до налаштувань хмари середня Використання технологш розмежування та обмеження доступу, мошторинг дш адмiшстраторiв

З.10 Зв'язки мiж хмарними ЦОД Порушення доступносл ЦОД, отримання несанкцюнованого доступу до шформацп, що передаеться мережею низька Використання надшних протоколiв з стiйкими криптограф. алгоритмами

Класифжащя загроз за ймовiрнiстю була проведена з урахуванням рекомендацш [1]. Згщно цих рекомендацш, найбiльшу ймовiрнiсть мають загрози, що здшснюються на компоненти хмарноï шфраструктури, якi мають iнтерфейси доступу з зовш та/або знахо-дяться в вiртуалiзованому середовищi.

Аналiз моделi загроз, зображеноï на рис. 2, показав, що найбшьшу небезпеку становлять загрози управлшня хмарою (З.9) та ïï безпекою (З.1), а також загрози гiпервiзору (З.6).

5. Результати дослщжень моделi загроз та порушника вщносно ключiв

5. 1. Модель загроз вщносно ключiв та ключово!' iнформацiï

На основi розроблених моделей хмарних обчислень, порушника та загроз 1ТС хмарних обчислень(сервгав) з суттевим урахуванням [2-4, 6] визначено, що най-бiльш проблемними з точки зору перекриття е загрози вщносно ключiв та ключовоï iнформацiï.

На рис. 3 наведено визначений в процеа досль джень та даних табл. 1, 2, а також рис. 1, 2, перелж загроз ключовим даним (ключам), яю необхщно за-

стосовувати для криптографiчного захисту шформацп в процеа хмарних обчислень. Детально опис моделi загроз наведений в табл. 3.

Враховуючи в аналiзi наведеннi данi в робой [6], приймемо що в середовишд хмари вщносно ключових даних можуть юнувати та реалiзовуватись зi сторони порушника таю загрози:

- компрометащя ключiв та ключовоï iнформацiï;

- несанкщоноване знищення ключiв та ключовоï iнформацiï;

- перехоплення та запам'ятовування ключiв та ключовоï iнформацiï;

- нав'язування помилкових або хибних ключiв та ключовоï iнформацiï;

- нав'язування слабких ключiв або напiв слабких ключiв;

- пiдмiна ключiв або ключовоï iнформацiï;

- отримання несанкцюнованого доступу до ключiв чи ключовоï iнформацiï;

- отримання можливостi несанкцюнованого вико-ристання ключiв тощо.

Зважаючи на пропозицп та визнанi критерп, що на-веденi в [1, 3, 6], приймемо в якост основного критерж ймовiрнiсть реалiзацiï загрози. Також приймемо, що вона може оцшюватись як: низька, середня та висока.

Загрози ключам в середовищi хмари

Загроза Об'ект для якого реашзуеться загроза Мета Ймовiрнiсть загрози Методи захисту

З.1 Користувач Компрометащя, знищення, отримання шесашкцiошовашого доступу чи шесашкцiошоваше використання ключiв висока Використання захищених носив ключа

З.2 Канал зв'язку мiж користувачем та хмарою Перехоплення, нав'язування, шдмша ключiв висока Використання захищеного каналу зв'язку з взаемною автентифшащею сторш та стшкютю вищою за стшкють ключiв, що передаються

З.З Сервю ¡дентифшаци, автентифжацп', авторизацй' та керування правами доступу Отримання шесашкцiошовашого доступу до ключiв; Отримання можливостi шесашкцiошовашого використання ключiв. висока Використання надшних протоколiв автентифжацй з стшкими криптографiчними алгоритмами. Використання багатофакторно!' автентифжацй

З.4 Хмарне середовище: сервюи додатки, шфраструктура Компрометацiя, знищення, пiдмiша, нав'язування, отримання шесашкцiошовашого доступу чи шесашкцiошоваше використання ключiв висока Використання ЖМ для здiйснення криптографiчних операцiй

З.5 Криптографiчний сервiс Компрометацiя, знищення, пiдмiша, нав'язування, отримання шесашкцiошовашого доступу чи шесашкцiошоваше використання ключiв середня Використання ЖМ для здiйснення криптографiчних операцш

З.6 Адмшютратор ЦОД та адмшютратор безпеки Компрометацiя, отримання шесашкцiошовашого доступу чи шесашкцiошоваше використання ключiв адмшютраторiв з метою отримання вищих повноважень в системi низька Використання захищених носив ключа

З.7 Канал зв'язку мiж вщокремленими хмарними ЦОД Перехоплення, нав'язування, пiдмiша ключiв середня Використання захищеного каналу зв'язку з взаемною автентифша-цiею сторш та стшкютю вищою за стшкють ключiв, що передаються

З.8 Менеджер ключiв користувачiв Компрометацiя, знищення, шдмша, нав'язування, отримання шесашкцiошовашого доступу чи шесашкцiошоваше використання ключiв середня Використання надшного сервюу автентифжацй

З.9 Засоби зберiгання ключiв Компрометацiя, знищення, пiдмiна, отримання ^сан^^ованого доступу до ключiв низька-середня Використання захищених апаратних модулiв збершання ключiв та/або HSM

З.10 Канал зв'язку мiж хмарним ЦОД та ЦСК Перехоплення, нав'язування, пiдмiна ключiв та результатiв перевiрки ключiв низька Використання надшних протоколiв з стiйкими криптографiчними алгоритмами

З.11 ЦСК Компрометащя, отримання несанкщонованого доступу чи несанкщоноване використання ключiв з метою компрометаци сервiсiв, що надаються ЦСК низька Створення КСЗ1 для ЦСК, проходження експертизи та вщповщнють державним та мiжнародним стандартам

На основi аналiзу перелжу загроз та моделi за-гроз ключовим даним можна зробити висновки про те, що порушник може з високою ймовiрнiстю здшс-нювати:

- компрометащю, знищення, отримання несанкщ-онованого доступу чи несанкщоноване використання ключiв ввдносно користувача;

- перехоплення, нав'язування та тдмшу ключiв через канали зв'язку мiж користувачем та хмарою;

- отримання несанкщонованого доступу до ключiв через сервки iдентифiкацiï, автентифiкацiï, авториза-цп та керування правами доступу;

- отримання несанкщонованого доступу чи несанкщоноване використання ключiв через хмарне се-редовище - сервкпв додаткiв та, iнфраструктуру;

- найбшьшу небезпеку в середовищi хмарних об-числень для ключових даних користувача представ-ляють адмшктратори хмарних сервiсiв, яю мають

доступ до середовища в якому розгорнуто хмарш до-датки користувача.

Для захисту вщ вказаних загроз на р1вш користувача необхщно використовувати захищеш з необхщ-ним р1внем носи ключ1в.

На р1вн1 канал1в зв'язку м1ж користувачем та хма-рою використовувати захищеш канали зв'язку з вза-емною автентифжащею сторш та стшюстю вищою за стшюсть ключ1в, що передаються.

Рис. 3. Загрози ключам в середовищi хмари

На р1вш серввпв щентифжацп, автентифжацп, ав-торизацп та керування правами доступом використовувати надшш протоколи автентифжацп з стшкими криптограф1чними алгоритмами, також методи бага-тофакторно' автентифжацп.

На р1вш хмарного середовища, тобто сервгав до-датюв та шфраструктури - використовувати для здшснення криптограф1чних операцш захищеш вщ-повщним чином криптограф1чш модул1 - HSM.

Також на основ1 табл. 3 можна визначити методи та мехашзми криптограф1чного та шшого захисту в се-редовишд хмарних обчислень для середнього та низь-кого р1вшв ймов1рностей реал1зацп загроз.

5. 2. Оцшки ризикiв та потенцiйних втрат за раху-нок ключових даних

Шд час розробки комплексно' системи захисту для хмари, в процеа анал1зу модел1 загроз виникае необхщшсть отримати значення ризику виникнення загроз з метою використання найб1льш оптимальних метод1в захисту, а також оцшки використаних метод1в в побудованш систем!

В загальному випадку юнуе два показники, яю отримують в процеа анал1зу ризиюв: яюсний та юль-юсний.

За визначення стандарту ISO/IEC 27005 пщ ри-зиком розум1еться вплив невизначеноси на щл1, що характеризуеться комбшащею ймов1рност1 подш та 'х наслщюв. Значення ризику Я може бути задано на-ступним виразом:

R = р ■Cj,

де P¡ - ймов1ршсть усп1шно1 реал1зац11 i-й загрози, Cj - ощнка збитку викликаного впливом шциденту 1Б на активи при устшнш реал1зац11 i-й загрози.

Шд загрозою розум1еться будь-яю обставини або поди, що виникають у середовишд хмарних обчислень, яю можуть бути причиною порушення политики без-пеки шформацп i (або) нанесення збитюв автоматизо-ванш системi.

Стандарт ISO/IEC 31010 описуе ochobhí методи з оцшки ризиюв, сферу 1х застосу-вання та можливоси, вхiднi та вихiднi данi, а також переваги та недолжи цих методiв.

На сьогоднi кнуе деюль-ка методологiй та пiдходiв по оцiнцi ризикiв. В першу чергу ощнка ризиюв може бути ви-конана використовуючи юль-юсний (ISAMM, Mehari), яюс-ний (EBIOS, Octave, IT-Grund-shutz) або змшаний пiдхiд (CRAMM, MEGERIT). Юль-юсш методи використовують вимiрнi, об'ективнi даш для визначення вартостi активiв, iмовiрнiсть втрати i пов'яза-них з ними ризиюв. В ход1 оцшки з використанням юль-кiсного пщходу обчислюють-ся числовi значення для кожного з компоненив, зiбраних в ходi оцiнки ризикiв та аналiзу витрат i переваг. В свою чергу, яюсш методи Грунтуються на використанш вiдносного показнику ризику або вартосп активу на ос-новi рейтингу або подiлу на категорп, такi як низький, середнш, високий, не важливо, важливо, дуже важливо, чи за шкалою вщ 1 до 10. Яюсна модель дозволяе ощни-ти ди й iмовiрностi виявлених ризикiв бiльш швидким та дешевшим способом порiвняно з юльюсним. Якщо вимагаеться бiльш детальний та точний аналiз на осно-вi окремих отриманих якiсних оцшок можна провести кiлькiсний аналiз. Такий аналiз з комбiнацii якiсного та юльюсного пiдходiв являе собою змшаний пiдхiд з сукупнiстю переваг i недолтв вище згаданих методiв.

Окремих стандарив, що описують аналiз ризиюв ключових систем в хмарi станом на 2015 не юнуе, але в якост керуючих документiв по аналiзу ризикiв в се-редовищд хмарних обчислень можуть бути застосоваш наступнi стандарти: ISO 27001, ISO 27005, ISO 17799. В цих стандартах теоретично описуються i даються методичш вказiвки процесу оцшки ризиюв, в тому чж^ i для ключових систем. В наведених стандартах не визначено та не даеться конкретних технологш з проведення оцшок, тому в якост шструменив для проведення аналiзу можуть бути використаш рiзнi програмш додатки, наприклад таю як Cobra (Велико-британiя), RiskWatch (США), ГРИФ (Росiя).

Окрiм зазначених вище стандарив iснуе публжа-щя NIST NISTIR 7956, що розглядае питання та про-блеми управлшня ключами в хмарних сервiсах.

Низка закордонних та вичизняних публiкацiй [8-10] вщзначають наступнi особливостi при прове-(1) деннi оцiнки ризикiв хмарних обчислень:

- загалом кнуючи тдходи до оцшки ризикiв можуть бути використанш в середовищi хмарних обчислень, за умови урахування особливостей функцюну-вання та шфраструктури хмари;

- розробка та використання методiв оцшки повинна будуватися на принципах адаптивности тобто враховувати принцип невизначеност складу хмарноï iнфраструктури та можливост ïï динамiчноï змiни;

- невизначешсть та динамiчна змiна конфiгурацiï хмари потребуе методик з поточного аналiзу вразли-востей хмари;

- суттевим недолжом шнуючих методик е усклад-нене отримання прогнозiв про стан середовища хмарних обчислень, що в умовах високоï невизначеност е важливим фактором, в результат знижуеться загаль-ний рiвень захищеностi хмарноï 1ТС;

- також недолжом ¡снуючих методик е складшсть ïх застосування до каналiв НСД в хмарi, через ïх вiдмiннiсть для кожноï з реалiзацiï моделi хмарних обчислень;

- наявнiсть можливоси користувачами використання своïх власних пристроïв для взаемодiï з се-редовищем хмари призводить до розмиття поняття контрольована зона;

- при проведенш аналiзу ризиюв у хмарнiй 1ТС, вiдповiдно до традицшних пiдходiв, часто вiдсутня можливкть отримання будь-яких кiлькiсних експерт-них оцшок про ймовiрнiсть реалiзацiï загроз, через незнання географп, умов функцюнування та рiвня захищеностi ресурсiв.

Задачу вибору методу з аналiзу ризиюв в середо-вищi хмари ускладнюють таю особливост хмарного середовища, як: розпод^ена складна архiтектура, наявнiсть адмiнiстраторiв, якi контролюють обслу-говуюче обладнання та розгорнуту шфраструктуру, конфiгурацiя системи, що складаеться з рiзних вузлiв та може динамiчно змiнюватися, вщсутшсть контролю середовища користувачами тощо. Керуючись зазначеними вище особливостями середовища хмари, а також вщсутшстю статистичних даних з реалiзацiï загроз, з широкого кола методiв було обрано два, що найбшьш повно дозволяють провести аналiз та отримати оцшки з ризиюв iнформацiйноï безпеки в хмарному середовищь

В якостi методiв, що дозволяють провести аналiз та класифжащю загроз, пропонуеться використову-вати метод попереднього аналiзу небезпек (PHA), що дозволяе провести аналiз на попередшх стадiях проектування з недостатньою юльюстю iнформацiï, ранжування небезпек та ризику або метод СHAZOP, який виконуе всебiчний та систематичний аналiз на завершальному етапi розробки системи або коли вона вже побудована. По причин складност використання методу СHAZOP його доцiльно застосо-вувати тiльки у випадках, коли необхщно виконати повний аналiз системи. В якоси кiлькiсного методу оцшки ризиюв пропонуеться до застосування використання байесовського тдходу, який дозволяе отримати апостерюрну ймовiрнiсть на основi апрь орних ймовiрностей, при цьому е можлившть уточ-нення результапв при отриманнi нових даних, що важливо при динамiчнiй змiнi юлькост вузлiв в системi та ïï архиектури [9].

6. Обговорення результаив дослщжень моделi загроз та порушника вщносно ключiв

Запропонованi на основi аналiзу сучасного стану стандартизацп та застосування хмарних сервiсiв моделi хмарних обчислень, порушника та загроз 1ТС хмарних сервiсiв дозволили встановити, що найбшьш проблемними та такими, що вимагають виршення в частиш надання послуг конфiденцiйностi, цiлiсностi, справжност та доступностi тощо, е задачi захисту ключiв та ключовоï шформацп. Для цього на основi аналiзу стану встановлено, що в середовишд хмари вiдносно ключових даних кнують та можуть бути реа-лiзованими такi загрози як компрометацiя, несанкцю-новане знищення, перехоплення та запам'ятовування, нав'язування слабких та несанкцiоноване використання тощо ключiв. При цьому встановлено, що найбшьшу небезпеку в середовищд хмарних обчислень для ключових даних користувача представляють адмшктратори хмарних сервгав, якi мають доступ до середовища, в якому розгорнуто хмарш додатки користувача.

Також на основi детального аналiзу стану та вимог вщносно безпечносп управлiння ключами зi сторони нормативно-правових документi та стандарпв, включаючи проекти, обгрунтоваш механiзми захисту кон-фiденцiйних, особистих та вщкритих ключiв користувача вщ виявленоï множини загроз. Вони зводяться до використання для забезпечення високого рiвня безпеки, тобто високого рiвня ймовiрностей реалiзацiï загроз в середовищд хмарних обчислень, комплексу техшчних, органiзацiйних та органiзацiйно-технiчних заходiв та засобiв, в тому числi до використання:

- на рiвнi користувача захищених з необхщним рiвнем безпеки ключових носпв;

- на рiвнi каналiв зв'язку мiж користувачем та хмарою захищених каналiв зв'язку з взаемною автентифь кацiею сторш та стшюстю вищою за стшюсть ключiв, що передаються;

- на рiвнi сервгав iдентифiкацiï, автентифiкацiï, авторизацiï та керування правами доступом надшних протоколiв автентифжацп з стiйкими криптографiч-ними алгоритмами, а також методiв багатофакторноï автентифжацп;

- для здiйснення криптографiчних операцш на рiв-нi сервiсiв додатюв та iнфраструктури захищених вiдповiдним чином модулiв криптографiчного захисту - HSM.

Необхщно вiдмiтити, що наведеш в табл. 3 дозволяють визначити методи та мехашзми криптографiчного захисту i для середнього та низького рiвнiв безпеки (ймовiрностей реалiзацiï загроз) в середовищi хмарних обчислень.

При дослщженнях та аналiзi загроз рекомендуеть-ся використовувати метод попереднього аналiзу небезпек (PHA). Вiн дозволяе провести аналiз на попереднiх стадiях проектування, з недостатньою кiлькiстю ш-формацiï, зробити ранжування небезпек та ризику. Також можна використовувати метод СHAZOP, якщо хмарному середовищу властивi таю особливосп як розподiлена складна архитектура, що складаеться з рiзних вузлiв, наявнiсть адмiнiстраторiв з високими можливостями щодо контролю над обслуговуючим обладнанням та розгорнутою шфраструктурою, кон-

фкуращя системи та розгорнуто' iнфраструктури, що змшюеться динамiчно, вiдсутнiсть контролю середовища користувачами, вщсутшсть статистичних даних з реалiзацiï загроз тощо. Але у зв'язку зi складностi використання методу CHAZOP доцiльно застосовува-ти ильки у випадках, коли необхщно виконати повний аналiз системи.

Для юльюсно' оцшки ризиюв пропонуеться [9] використовувати байесовський тдхщ, який дозволяе отримати апостерюрну ймовiрнiсть на основi апрюр-них ймовiрностей. При цьому е можлившть уточнення результатiв при отриманш нових даних, що важливо при динамiчнiй змiнi кiлькостi вузлiв в системi та ïï архиектури.

7. Виcнoвки

1. Розроблена модель загроз хмарних сервга доз-воляe зробити висновок про те, що найбшьшу ймо-вiрнiсть реалiзацiï мають загрози, що здшснюються на компоненти хмарно' iнфрастрyктyри, якi мають штерфейси доступу з зовнi та/або знаходяться в вiртy-алiзованомy середовищi. C точки зору найбiльшоï не-безпеки та найбшьших втрат системи y разi реалiзацiï загроз слiд видшити згiдно рис. 2 загрози управлшня хмарою (З.9) та ïï безпекою З.1, а також загрози гшер-вiзорy (З.б).

2. Визначений в результат аналiзу перелiк загроз та розроблена модель загроз ключовим даним дозволили зробити висновки про те, що порушник з висо-кою ймовiрнiстю може реалiзовувати ряд наведених в тдроздШ 5. 1. загроз, але найбшьша небезпеку в середовищд хмарних обчислень для ключових даних користувача виникае при використаннi ïх в серединi розгорнутою iнфраструктури, без застосування крип-тографiчних сервiсiв та HSM.

3. Розроблений профшь порушника, що включае категорж осiб, характер дш, рiвень доступу та мож-ливостей, рiвень ознайомленостi, методи та засоби, що використовуються та мету дш порушника. Його використання дозволяе формалiзувати процес побу-дування моделi загроз хмари та аналiз можливостей порушника.

4. Результати аналiзу моделi загроз ключовим да-ним дозволили запропонувати методи та мехашзми захисту, даш вщносно яких наведенi в табл. 3. До основних механiзмiв можна вщнести використанням захищених сховищ ключiв для безпечного зберiгання ключiв, та криптографiчних сервiсiв та хмарних HSM для безпечного використання ключiв в хмарь

5. Проведен результати дослщжень дозволили з урахуванням особливостей функцюнування хмар обрати методи оцiнки ризиюв згщно стандарту ISO/ IEC 31010, за рахунок яких досягаеться найбшьша повнота та яюсть проведення оцшки.

Лиература

1. Haeberlen, T. Cloud Computing Benefits, risks and recommendations for information security [Electronic resource] / T. Haeberlen, L. Dupré // Available at: https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-bene-fits-risks-and-recommendations-for-information-security/at_download/file

2. Jansen, W. Cloud Hooks: Security and Privacy Issues in Cloud Computing [Text] / W. Jansen // 44th Hawaii International Conference on System Sciences (HICSS) - 2011. - P. 1-10. doi: 10.1109/hicss.2011.103

3. Jansen, W. Guidelines on Security and Privacy in Public Cloud Computing. [Electronic resource] / W. Jansen, F. Grance, J. Mao, R. Bohn, J. Messina, L. Badger, D. Leaf // Available at: http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf

4. Hashizume, K. An analysis of security issues for cloud computing [Text] / K. Hashizume, D. Rosado, E. Fernández-Medina, E. Fernandez // Journal of Internet Services and Application - 2013. - Vol. 4, Issue 5. - P. 15-28. doi: 10.1186/1869-0238-4-5

5. Chandramouli, R. Analysis of Protection Options for Virtualized Infrastructures in Infrastructure as a Service Cloud [Text] / R. Chandramouli // Fifth International Conference on Cloud Computing, GRIDs, and Virtualization, Venice, Italy, 2014. -P. 37-43.

6. Chandramouli, R. NIST Cryptographic Key Management Issues & Challenges in Cloud Services [Electronic resource] / R. Chandramoli, S. Chokhani, M. Iorga. - National Institute of Standards and Technology, 2013. - 31 p. doi: 10.6028/nist.ir.7956

7. Luna, J. Leveraging the Potential of Cloud Security Service-Level Agreements through Standards [Text] / J. Luna, N. Suri, M. Iorga and A. Karmel // IEEE Cloud Computing. - 2015. - Vol. 2, Issue 3. - P. 32-40. doi: 10.1109/mcc.2015.52

8. Choo, K. A Cloud Security Risk-Management Strategy [Text] / K. Choo // IEEE Cloud Computing. - 2014. - Vol. 1, Issue 2. -P. 52-56. doi: 0.1109/mcc.2014.27

9. Зикратов, И. А. Оценка информационной безопасности в облачных вычислениях на основе байесовского подхода [Текст] / И. А. Зикратов, С. В. Одегов // Научно-технический вестник информационных технологий, механики и оптики. - 2012. -№ 4 (80). - С. 121-126.

10. Juliadotter, N. Cloud Attack and Risk Assessment Taxonomy [Text] / N. Juliadotter, K. Choo // IEEE Cloud Computing. -2015. - Vol. 1, Issue 2. - P. 14-20. doi: 10.1109/mcc.2015.2

11. Аулов, I. Ф. Аналiз формально! модели безпеки хмари NIST [Текст]: Всеукр. межвед. науч.-техн. сб. / I. Ф. Аулов, I. Д. Горбенко // Радиотехника. - 2014. - Вып. 176. - С. 131-137.