Microsoft Azure: it аудит хмарних послуг публічних користувачів

Размещено на http://www.allbest.ru

Microsoft Azure: it аудит хмарних послуг публічних користувачів

Кучма Ольга Миколаївна аспірант кафедри соціальної філософії та управління, Державний Податковий Університет, м. Ірпінь

Котух Євген Володимирович доктор наук з державного управління, професор кафедри кримінальних розслідувань, Державний Податковий Університет, м. Ірпінь



Анотація

У статті розглядається актуальність впровадження хмарних обчислень публічними користувачами в специфічних умовах воєнного стану в Україні. В умовах підвищених ризиків та нестабільності, особлива увага приділяється безпеці даних та надійності обчислювальних ресурсів. Стаття подає аналіз основних понять у домені хмарних послуг. Основна увага зосереджена на аудиті хмарних послуг Microsoft Azure та використання пропозицій та рекомендацій, щодо дотримання Azure Well-Architected Framework - кращих практик, принципів та навчальних матеріалів від Microsoft для користувачів Azure. Через дослідження кращих практик проведення ІТ аудиту можливо дійти висновків щодо безпеки підтримки сервісів Azure для відповіді на операційні потреби публічних користувачів. Додатково, стаття висвітлює необхідність перевірки дотримання нормативних вимог, зокрема у частині реагування на кіберзагрози. Аналіз служб Azure дозволяє виявити потенційні «слабкі місця», що потребують особливої уваги, формування ризиків та розробки стратегій реагування. Дослідження також підкреслює важливість взаємодії між посадовими особами публічних користувачів хмарних послуг для розробки ефективних механізмів контролю та вдосконалення. Завершується стаття рекомендаціями по розробці оптимальної архітектури робочих навантажень на основі результатів ІТ аудиту. У ході детального аналізу було встановлено, що зберігання даних публічних користувачів у хмарних сервісах може сприяти раціоналізації витрат на розвиток та розширення хмарних обчислювальних можливостей на державному рівні. Така тенденція спонукатиме до активізації переходу до хмарних технологій у різноманітних секторах економіки України. Особливого значення це набуває у контексті поточних зовнішніх викликів, зокрема, загрози знищення критичних компонентів інфраструктури. Оптимізація використання державних ресурсів може бути досягнута за допомогою інтеграції сучасних технологічних рішень у процеси обробки державних інформаційних активів.

Ключові слова. ІТ аудит, засоби контролю, ризики, хмарна інфраструктура, хмарні обчислення. хмарний послуга microsoft azure



Kuchma Olha Mykolaivna PhD candidate, State Tax University, Irpin

Kotukh Yevgen Volodymyrovych Doctor of Public Administration, Professor of Crime Investigation department, Irpin

MICROSOFT AZURE:

IT AUDIT OF CLOUD SERVICES OF PUBLIC USERS

Abstract

The article examines the relevance of the implementation of cloud computing by public users in the specific conditions of martial law in Ukraine. In conditions of increased risks and instability, special attention is paid to data security and reliability of computing resources. The article provides an analysis of the main concepts in the domain of cloud services. The main focus is on the audit of Microsoft Azure cloud services and the use of proposals and recommendations for compliance with the Azure Well-Architected Framework - best practices, principles and educational materials from Microsoft for Azure users. Through the study of IT audit best practices, it is possible to reach conclusions about the security of supporting Azure services to respond to the operational needs of public users. In addition, the article highlights the need to check compliance with regulatory requirements, in particular, in response to cyber threats. Analysis of Azure services allows you to identify potential "weaknesses" that require special attention, risk formation and development of response strategies. The study also highlights the importance of interaction between the officials of public cloud service users to develop effective control and improvement mechanisms. The article concludes with recommendations for the development of an optimal architecture of workloads based on the results of an IT audit. In the course of a detailed analysis, it was established that the storage of public user data in cloud services can contribute to the rationalization of costs for the development and expansion of cloud computing capabilities at the state level. Such a trend will encourage the transition to cloud technologies in various sectors of Ukraine's economy. This becomes especially important in the context of current external challenges, in particular, the threat of destruction of critical infrastructure components. Optimizing the use of state resources can be achieved by integrating modern technological solutions into the processes of processing state information assets.

Keywords. IT audit, controls, risks, cloud infrastructure, cloud computing.



Постановка проблеми. Введення в Україні правового режиму воєнного стану через збройну агресію російської федерації, прийняття Закону України «Про хмарні послуги» та низки підзаконних нормативно -правових актів у цій сфері значно прискорили впровадження хмарних обчислень публічними користувачами.

Через значні пошкодження ІТ інфраструктури та загрози втрати державних інформаційних ресурсів зазначені зміни потребували прийняття керівниками публічних користувачів швидких рішень щодо оптимальної архітектури робочих навантажень, налаштованої під операційні потреби (обсяг ресурсів, ступінь автоматизації, інші параметри для забезпечення ефективності), та економного використання коштів на оплату хмарних послуг.

Закон України «Про хмарні послуги», який був прийнятий у лютому 2022 року та набрав чинності 16 вересня 2022 року, визначив термінологію, правові відносини, що виникають при наданні хмарних послуг, та встановив особливості використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим, органами місцевого самоврядування, військовими формуваннями, утвореними відповідно до законів України, державними підприємствами, установами та організаціями, суб'єктами владних повноважень та іншими суб'єктами, яким делеговані такі повноваження (далі - публічні користувачі). Цей Закон створив засади для розвитку платформ інформаційно-комунікаційних технологій, що базуються на хмарних обчисленнях та реалізації принципу переваги хмарного середовища Cloud First.

Принцип Cloud First дає змогу збалансувати умови надавачів хмарних послуг та постачальників фізичних серверів, зекономити бюджетні кошти та зробити процес закупівель хмарних послуг більш швидким, прозорим і менш вразливим до корупційних ризиків завдяки онлайн доступності інформації стосовно цін, відсутності залежності від обмеженого кола надавачів хмарних послуг тощо.

Мета статті. Метою статті є висвітлення підходу до ІТ аудиту хмарних послуг Microsoft Azure, що дозволив би запропонувати пропозиції та рекомендації, щодо дотримання Azure Well-Architected Framework - кращих практик, принципів та навчальних матеріалів від Microsoft для користувачів Azure, що дозволить покращити якість робочого навантаження, оптимізувати заходи безпеки (впровадити єдиний вхід з використанням SAML, OAuth і вбудованих можливостей Azure AD Connect з використанням політики керування привілейованими ідентифікаційними даними).

Об'єктом дослідження цієї статті є практики та принципів Azure Well-Architected Framework, що використовуються для побудови належного рівня безпеки та досвіду користування хмарними сервісами Azure та механізмами, що сприяють розбудові державного ІТ аудиту хмарних послуг.

Аналіз останніх досліджень і публікацій. Дослідженням питання використання хмарних послуг в державному секторі в Україна займаються Т. Обіход, В. Шевченко, О. Марченко. Окремі питання застосування хмарних

послуг в економіки та фінансах досліджують І. Булах, Н. Ткачук, О. Краснопір, І. Гнидюк та М. Складанюк. В цих роботах висвітлюються питання диджиталізації державного сектора, зокрема ринку фінансових та адміністративних та фінансових послуг. Проблемам зростання інформаційного потенціалну цифрового економічного простору присвяені роботи С. Онешко, О. Дроздовой, Н. Івановой. Питаннями аналізу можливостей та ключових аспектів впровадження процедур аудиту використання сучасних технологій займаються Ю. Мамаєнко, В. Альошин, І. Кравченко, В. Кміть, М. Мікула. Проте, дослідження щодо побудови національної системи ІТ аудиту державних послуг з використанням сучасних технологій, зокрема ІТ аудиту хмарних послуг публічного сектору залишається поза увагою вітчизняних науковців.

Виклад основного матеріалу. На період дії воєнного стану в Україні відповідно до постанови Кабінету Міністрів України від 12 березня 2022 року № 263 «Деякі питання забезпечення функціонування інформаційно - комунікаційних систем, електронних комунікаційних систем, публічних електронних реєстрів в умовах воєнного стану» міністерствам, іншим центральним та місцевим органам виконавчої влади, державним і комунальним підприємствам, установам, організаціям, що належать до сфери їх управління, з метою забезпечення належного функціонування інформаційних, інформаційно-комунікаційних та електронних комунікаційних систем, публічних електронних реєстрів, володільцями (держателями) та/або адміністраторами яких вони є, та захисту інформації, що обробляється в них, а також захисту державних інформаційних ресурсів, було надано право розміщувати державні інформаційні ресурси та публічні електронні реєстри на хмарних ресурсах та/або в центрах обробки даних, що розташовані за межами України, та реєструвати доменні імена у домені gov.ua для такого розміщення.

Також, цією постановою було дозволено протягом дії воєнного стану зберігати резервні копії державних інформаційних ресурсів та публічних електронних реєстрів у зашифрованому вигляді, зокрема за межами України, на хмарних ресурсах та/або окремих фізичних носіях, та/або в ізольованому сегменті центрів обробки даних з дотриманням установлених для таких ресурсів вимог щодо цілісності, конфіденційності та доступності.

Положеннями Закону України «Про хмарні послуги» були унормовані наступні питання, зокрема:

визначено структуру, порядок формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;

визначено вимоги до надавачів хмарних послуг та/або послуг центру обробки даних, яким надавач хмарних послуг має відповідати для внесення до переліку за відповідними видами послуг, та порядок підтвердження відповідності цим вимогам;

встановлено порядок надання хмарних послуг та/або послуг центру обробки даних, пов'язаних з обробкою державних інформаційних ресурсів.

Як визначено у статті 3 Закону України «Про хмарні послуги» до хмарних послуг належать:

інфраструктура як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг обчислювальних ресурсів, ресурсів зберігання або систем електронних комунікацій за допомогою технології хмарних обчислень;

платформа як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг доступу до інфраструктури та наборів комп'ютерних програм (операційних систем, системних комп'ютерних програм, програмних засобів для комп'ютерного програмування, програмних засобів управління базами даних) за допомогою технології хмарних обчислень;

програмне забезпечення як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг доступу до прикладних комп'ютерних програм за допомогою технології хмарних обчислень через онлайн-сервіс або комп'ютерні програми-агенти;

безпека як послуга - послуга з кіберзахисту, що надається користувачу хмарних послуг з використанням хмарних ресурсів [1].

Зазначений підхід до визначення поняття «хмарні послуги» базується на трирівневій моделі хмарних сервісів, наведеній на Малюнку 1.

Рис. 1. Трирівнева модель хмарних сервісів

На нижньому рівні знаходиться IaaS (Infrastructure-as-a-Service) - це сервери, сховища, мережі, обчислювальна інфраструктура, яку надавач хмарних послуг (хмарний провайдер) надає для користування. Прикладами IaaS є IBM Softlayer, Hetzner Cloud, Amazon EC2, Microsoft Azure.

На середньому рівні розташовується PaaS (Platform-as-a-Service) - платформа для самостійної розробки та розгортання додатків. Приклади PaaS - Google App Engine, VMWare Cloud Foundry, IBM Bluemix та Microsoft Azure.

Найвищій рівень - це SaaS (Software-as-a-Service), яку складають готові хмарні додатки з доступом через веб-інтерфейс. Приклади SaaS - Microsoft Office 365, Google Drive, Dropbox.

Згідно з міжнародними рейтингами система Microsoft Azure є одним із лідерів в IaaS (інфраструктура як послуга) і PaaS (платформа як послуга). Ця потужна комбінація сервісів дозволяє створювати, розгортати та керувати програмами, що забезпечує високу продуктивність та більше можливостей для розгортання ІТ-інфраструктури.

Microsoft Azure швидко масштабується відповідно до вимог публічних користувачів, які платять лише за фактичне використання платформи. Платформа Microsoft Azure базується на глобальній мережі центрів обробки даних під керуванням Microsoft. Завдяки цьому публічним користувачам відкриваються можливості запуску додатків об'єктами, які розгалужені за територіальним місцезнаходженням.

До основних хмарних служб Microsoft Azure належать, зокрема:

Windows Azure laaS - апаратна платформа (віртуальні машини) з налаштовуємою конфігурацією та визначеними ресурсами (потужність процесора, оперативна пам'ять, дисковий простір);

Windows Azure PaaS - платформа (хмарна платформа), у якій використовуються окремі додатки (додаток ASP.NET, служба WCF) та розміщується код (наприклад, код PHP);

Microsoft Azure AppFabric - компонент, який відповідає за оптимальне поєднання публічної хмари та локальних сервісів;

Microsoft Azure Storage - механізм, що забезпечує надійне зберігання інформації;

SQL Azure - поєднана база даних.

При цьому для публічних користувачів пріоритетним є ефективний вибір надавача хмарних послуг / закупівля хмарних послуг та побудова власної індивідуальної архітектури, яка б відповідала принципам Azure Well- Architected Framework.

Azure Well-Architected Framework (WAFR) - це набір керівних принципів, які можуть використовувати публічні користувачі для покращення якості робочого навантаження, підвищення ефективності виконання власних та делегованих задач і функцій.

WAFR складається з п'яти основ архітектурної досконалості: Надійність, Безпека, Оптимізація витрат, Операційна досконалість, Ефективність продуктивності. Незважаючи на те, що кожен з принципів важливий, пріоритетність їх можна визначити залежно від конкретних потреб публічного користувача.

Надійність - зосередженість на рішеннях для робочого навантаження користувачів, що досліджують області проектування архітектури, такі як

висока доступність, аварійне відновлення, можливості стійкості додатків і даних, обробка помилок, продуктивність і моніторинг.

Принцип надійності полягає не в тому, щоб уникнути будь -яких збоїв в роботі застосунків, а в тому, щоб реагувати на збої таким чином, щоб уникнути простою та втрати даних. Це досягається шляхом підвищення стійкості додатків за допомогою шаблонів, які включають реплікацію даних і можливості відновлення додатків після відмови. Цей принцип проектування використовується для забезпечення високої доступності та збільшення часу безвідмовної роботи системи, що є ключовим критерієм успіху для критично важливих систем публічних користувачів хмарних послуг [2].

Безпека - зосередженість на забезпеченні гарантій щодо навмисних атак та зловживань цінними даними та системами, а саме: конфіденційність, цілісність, доступність. Втрата цих гарантій може негативно вплинути на операційну діяльність, створити умови для безповоротної втрати державних інформаційних ресурсів, втрати репутації надійного партнера міжнародної спільноти.

Розуміння того, як ІТ-рішення взаємодіє з навколишнім середовищем, є ключем до запобігання несанкціонованим діям та виявлення аномальної поведінки, які можуть становити загрозу безпеці. Хмарні архітектури полегшують непросте завдання забезпечення безпеки ресурсів публічних користувачів за рахунок спеціалізації та загальної відповідальності [3].

Оптимізація витрат - зосередженість на побудові балансу між операційними цілями публічних користувачів та обґрунтованістю бюджетів для створення економічного робочого навантаження без капіталомістких рішень. Оптимізація витрат полягає у пошуку способів зменшення непотрібних витрат та підвищенні ефективності роботи. Зазначене реалізується зокрема шляхом: використання калькулятора витрат для оцінки початкових та експлуатаційних витрат; визначення політики, бюджетів та елементів управління, які обмежують витрати на архітектурні рішення [4].

Операційна досконалість - зосередженість на визначенні процесів і процедур, які хмарні оператори використовують для ефективного управління та експлуатації масштабного блоку Azure Stack Hub, зокрема: керування ідентифікацією та доступом, мережева інтеграція, моніторинг і попередження, надання послуг, керування потужністю, оновлення, безперервність діяльності та аварійне відновлення (BC/DR), а також ефективна підтримка та адміністрування [2].

Ефективність продуктивності - зосередженість на здатності робочого навантаження ефективно адаптуватися до змін у вимогах, що висуваються до неї публічними користувачами, зокрема шляхом горизонтального масштабу - вання (примірники додаються) або горизонтального збільшення масштабу

(примірники видаляються) у відповідь на зміни навантаження. Горизонтальне масштабування може підвищити стійкість за рахунок надмірності та зменшити витрати за рахунок відключення надмірної ємності. [5].

Прагнення дотримуватися керівних принципів та орієнтири під час впровадження сервісів Microsoft Azure на ці 5 основ, що складають Azure Well- Architected Framework, дозволяють отримувати ефективні гнучкі інструменти для виконання завдань та функцій публічних користувачів. При цьому Microsoft Azure підтримує кожну операційну систему, мову, інструмент та структуру (від Windows до Linux, від SQL Server до Oracle, від IsPro до Java), створює додатки та сервіси, що працюють на будь -якому пристрої.

Інструмент nOps Azure дозволяє автоматизувати впровадження процесу WAFR, зокрема оцінити робочі навантаження за допомогою визначених практик, щоб переконатися, що вони безпечні, надійні та високопродуктивні.

Як свідчать дослідження у сфері хмарних технологій, зокрема в публічному секторі, найбільш значні проблеми та суттєві ризики пов'язані з загрозами кібербезпеці, витоку державних інформаційних ресурсів, персональних даних фізичних осіб [6, 7]. Структури, які працюють із

важливими державними інформаційними ресурсами, не застраховані від проблем, пов'язаних із безпекою даних. Як приклад, у 2019 році через помилку у налаштуванні доступу користувачів 1,8 млрд документів Пентагону США були незахищеними, а інформація містилась у трьох публічних хмарних середовищах [8].

В умовах військової агресії проти України, постійних кібератак російських хакерів на ІТ ресурси країни, при переході публічних користувачів у хмарне середовище не завжди приймаються ефективні управлінські рішення, пов'язані з проектуванням та плануванням розгортання хмарного середовища та/або реалізацією впроваджених архітектурних рішень.

З огляду на зазначене, використання публічними користувачами Microsoft Azure інфраструктури як послуга (IaaS), платформи як послуга (PaaS) або програмного забезпечення як послуга (SaaS) потребує спрямування зусиль на впровадження заходів безпеки. В цілому відповідальність можна поділити на три частини: Microsoft, спільна відповідальність та відповідальність публічного користувача.

Незалежно від архітектури та управління хмарними послугами фізичні центри обробки даних розміщення Azure є відповідальністю Microsoft. Microsoft управляє доступністю, контролює елементи керування безпекою та вразливість бази, на якій знаходиться платформа Azure. Публічний користувач завжди відповідає за користувачів, дані та рівень доступу всередині платформи. Спільні обов'язки змішані між трьома моделями обслуговування. IaaS вимагає більшої відповідальності з боку публічного користувача, PaaS зазвичай становить 50/50, а SaaS покладає більше відповідальності на Microsoft [7].

Таким чином, важливим аспектом, який потребує дослідження під час ІТ аудиту є визначення засобів контролю відповідно до моделі спільної відповідальності між надавачем хмарних послуг та публічним користувачем.

Слід зазначити, що проведення ІТ аудиту хмарних послуг публічних користувачів допоможе виявити і розв'язати проблемні питання, які стосуються впровадження хмарних обчислень, оцінити та задокументувати адекватність і ефективність служб Microsoft Azure, а також оцінити, чи безпечно Azure підтримує операційні цілі публічних користувачів та чи дотримані нормативні вимоги, зокрема визначені Законом України «Про хмарні послуги».

Високий рівень відповідальності за об'єктивні та достовірні висновки покладається на ІТ аудиторів, які проводять аудит. Відповідно до ITAF™: Основні положення професійної практики аудиту та підтвердження довіри до ІС: 3-тє видання, розробленого Асоціацією аудиту та контролю інформаційних систем ISACA (Information Systems Audit and Control Association) (далі - ITAF™) аудитор/ фахівець з аудиту перед початком аудиту повинен, зокрема:

розуміти вид діяльності публічного користувача, що підлягає ІТ аудиту (обсяг необхідних знань повинен визначатися у відповідності до характеру діяльності, її середовища, сфер ризику та цілей завдань);

розглядати настанови та вказівки щодо об'єкта перевірки в рамках законодавчих і нормативних актів, правил, вказівок і настанов, виданих урядовими органами чи галузевими органами управління;

проводити оцінку ризиків для забезпечення достатньої впевненості у тому, що під час виконання завдань будуть охоплені всі важливі складові;

встановити стратегію ІТ аудиту, рівні суттєвості та потреби у ресурсах;

розробити проектний план завдань, щоб забезпечити виконання ІТ аудиту у встановлені терміни;

під час виконання запланованих завдань з ІТ аудиту коригувати проектний план відповідно до виникаючих ситуацій, таких як нові ризики, неправильні припущення чи результати здійснених процедур;

забезпечити виконання запланованих завдань з ІТ аудиту, оцінювання досягнення цілей контролю, проведення тестування та звітування щодо визначених процесів [9].

З метою оцінки досягнення цілей контролю під час ІТ аудиту хмарних послуг Microsoft Azure потребують планування завдання для всебічного дослідження та тестування 7 основних процесів: Управління, Конфігурація і керування мережею, Ведення журналів і моніторинг, Керування ідентифікацією та доступом, Реагування на інцидент безпеки, Безпека

ресурсів, Шифрування даних. Процеси, які потребують тестування контролів, та їх загальний опис зазначені на Малюнку 2.

Відповідно до стандарту 1204 «Суттєвість» ITAF™ при плануванні завдань ІТ аудиту потрібно враховувати потенційні недоліки або відсутність контролів, а також те, чи можуть призвести до значного порушення чи суттєвого недоліку такі недоліки або відсутність контролів.

Слід зазначити, що у 2020 році Microsoft Azure спостерігав стабільне зростання та збільшення частки ринку. При цьому зростання кількості клієнтів, а також збільшення попиту на хмарні послуги з боку існуючих клієнтів, можуть вплинути на проблеми з надійністю. Azure зазначав про ці проблеми (наприклад, збій у центрі обробки даних і проблеми, пов'язані з Active Directory і багатофакторною автентифікацією) під час оприлюднення планів щодо підвищення надійності сервісів.

Рис. 2 Процеси, які потребують тестування контролю, їх загальний опис

З огляду на зазначене, під час ІТ аудиту хмарних послуг Microsoft Azure в обов'язковому порядку потребує дослідження питання оцінки досягнення цілі контролю процесу «Безпека ресурсів», які наведені за підпроцесами в Таблиці 1.



Таблиця 1.

Цілі контролю процесу «Безпека ресурсів», які з огляду на наявні ризики, потребують тестування, відповідно до підпроцесів

Назва підпроцесу	Цілі контролю
Керування виправленнями віртуальної машини (далі - VM)	Публічний користувач підтримує цілісність, доступність і конфіденційність розгорнутих серверних ресурсів шляхом своєчасного усунення вразливостей операційних систем
Управління захистом кінцевої точки VM	Публічний користувач підтримує цілісність даних, що зберігаються на VM шляхом встановлення захисту кінцевої точки VM
Шифрування диска VM	Публічний користувач підтримує цілісність даних, що зберігаються на VM, увімкнувши захист даних у звичайних умовах для типів дисків, що знаходяться в зоні дії
Керування розширеннями VM	Публічний користувач підтримує цілісність середовища безпеки VM, дозволяючи встановлювати та працювати лише програмам за переліком, що затверджений
Безпечна передача даних для контейнерів зберігання	Публічний користувач забезпечує безпеку даних для інформації, доступ до якої здійснюється з контейнерів зберігання (контейнери надають стандартизований формат для пакування та зберігання всіх компонентів, необхідних для запуску потрібної програми) та облікових записів, вимагаючи захисту даних під час передавання
Керування ключами для контейнерів зберігання	Публічний користувач підтримує цілісність ключів доступу до сховища, вимагаючи закінчення терміну дії ключів і повторного створення нових ключів
Керування зовнішнім доступом до контейнерів зберігання	Публічний користувач підтримує цілісність операційних даних, які зберігаються та передаються зовнішнім користувачам шляхом надання альтернативних засобів доступу на короткочасний період
Управління трафіком для контейнерів зберігання	Публічний користувач підтримує цілісність конфіденційних даних, забезпечуючи доступ до облікових записів зберігання обмежено дозволеними мережевими розташуваннями
Розширений захист бази даних	Публічний користувач забезпечує безпеку бази даних, використовуючи наявні механізми захисту від загроз і сповіщення для критично важливих завдань і функцій баз даних
Увімкнення аудиту бази даних	Публічний користувач покращує обізнаність про безпеку та видимість, увімкнувши можливості аудиту бази даних на критично важливих для операційних задач та функцій серверах баз даних
Увімкнення шифрування бази даних	Публічний користувач підтримує цілісність даних, що зберігаються в критично важливих для завдань та функцій базах даних увімкнувши надійне шифрування даних у звичайних умовах
Керування передачею даних для контейнерів зберігання	Публічний користувач підтримує цілісність даних, що зберігаються в критично важливих для завдань та функцій базах даних, завдяки надійному шифруванню даних під час передачі

Орієнтовні «чек листи» для тестування ІТ аудитором засобів контролю, спрямованих на досягнення наведений цілей, із зазначенням переліку мінімальних дій та приклади аудиторських процедур під час тестування за підпроцесами «Керування виправленнями віртуальної машини», «Управління захистом кінцевої точки віртуальної машини», «Управління трафіком для контейнерів зберігання» наведені у Таблиці 2.

Таблиця 2.

Орієнтовні «чек листи» для тестування окремих засобів контролю процесу «Безпека ресурсів» за підпроцесами

№ з/п	Питання для аналізу та оцінки засобів контролю	Досягнуто ціль контролю?	Коментар
		Так Ні Н.з.
1. Тестування підпроцесу «Керування виправленнями віртуальної машини»
.1	Чи визначено загальну Стратегію виправлення серверів Azure для VM, що знаходяться в межах дослідження?	Опитування відповідальних та підзвітних осіб
.2	Чи існують середовища VM або групи Azure, на які не розповсюджуються вимоги загальної Стратегії? Чи задокументовані такі винятки? Чи перевіряються регулярно з оцінкою на відповідність?	Фактична та документальна перевірка
	Довідково. Отримайте популяцію підписок і груп ресурсів, що знаходяться в межах дослідження, і згенеруйте випадкову вибірку, яка містить віртуальні машини для перегляду.	Фактична та документальна перевірка
.3	Чи ввімкнено керування оновленнями Azure на порталі Azure для вибірки, щоб застосувати необхідні виправлення? Довідково. Знайдіть і виберіть віртуальні машини. Виберіть одну з віртуальних машин, включених до зразка, щоб отримати доступ до її параметрів: У підменю «Операції» виберіть «Керування оновленнями», у верхньому меню виберіть «Керування кількома машинами», а потім «Додати віртуальні машини Azure». У представленій таблиці статусу керування оновленнями перегляньте імена кожної віртуальної машини вибірки та індикатор стану керування оновленнями.	Фактична та документальна перевірка
.4	Чи налаштовано на порталі Azure розклад розгортання необхідних виправлень для віртуальних машин, що знаходяться в межах дослідження? Довідково. Знайдіть і виберіть віртуальні машини. Потім виберіть одну з віртуальних машин, включених до вибірки, щоб отримати доступ до її параметрів.	Фактична перевірка
	Виберіть «Керування оновленнями» та натисніть «Розклади розгортання». Потім перейдіть до заплано - ваних розгортань, клацнувши назви розгортань, відображені в таблиці, щоб переглянути налаштування. Перевірте відповідність таких атрибутів: класифікації оновлень (вибрати все, критичні оновлення та оновлення безпеки та інші оновлення); включити/виключити оновлення (відобразити конкретні пакунки, які слід включити/виключити з програми розгортання) ; налаштування розкладу (дата та час початку, часовий пояс, повторення (один раз/ повторення), повторення кожні (у днях), встановлення терміну дії) приписи/ постсценарії вікно обслуговування (у хвилинах) параметри перезавантаження
	Чи є у вибірці віртуальні машини щодо яких не вдалося застосувати патчі? Чи є критичними за своєю природою такі виключення? Довідково. Знайдіть і виберіть віртуальні машини, а потім виберіть одну з віртуальних машин, включених до вибірки, щоб отримати доступ до її параметрів. Виберіть «Керування оновленнями», а потім перегляньте панелі «Відсутні оновлення», «Невдалі розгортання» та вкладку «Історія», показані в меню. Чи є пояснення у керівництва публічного користувача щодо виявлених розбіжностей (у разі виявлення)?	Фактична перевірка
	Досягнуто ціль контролю І--II--1|--1 підпроцесу?
2. Тестування підпроцесу «Управління захистом кінцевої точки віртуальної машини»
.1	Чи визначені рішення для захисту кінцевих точок, які публічний користувач прийняв для віртуальних машин Azure?	Опитування відповідальних та підзвітних осіб
.2	Чи визначені можливості, які кожне рішення має надати для кожного типу віртуальної машини?	Опитування відповідальних та підзвітних осіб, документальна перевірка
.3	Яку частоту та які методи встановило керівництво публічного користувача для забезпечення актуальності сигнатур захисту від зловмисного/ шпигунського програмного забезпечення/ загроз (наприклад, після завантаження інструменту, щоденних оновлень)?	Документальна перевірка
.4	Засоби захисту кінцевих точок встановлені з усіма необхідними функціями? Довідково. Створіть популяцію віртуальних машин і випадково відберіть віртуальні машини, отримуючи та перевіряючи знімки екрана, які свідчать про те, що засоби захисту кінцевих точок встановлені з усіма необхідними функціями.	Фактична перевірка
.5	Сигнатури захисту від зловмисного програмного забезпечення актуальні, і існують механізми для оновлення файлу відповідно до належних розкладів? Довідково. Отримайте та перевірте скріншоти, які демонструють вищезазначене	Фактична перевірка
.6	На всіх віртуальних машинах встановлено поточні оновлення захисту кінцевих точок? Довідково. Перевірте консоль Центру безпеки Azure, щоб переконатися у вищезазначеному.	Фактична перевірка
	Досягнуто ціль контролю підпроцесу?
3. Тестування підпроцесу «Управління трафіком для контейнерів зберігання»
.1	Чи дозволено доступ користувачам внутрішніх чи зовнішніх мережі, яким дозволено доступ до корпоративних облікових записів сховища Azure, що розглядаються, і чи існують задокументовані бізнес- обґрунтування/ пояснення для кожного призначення віртуальної мережі?	Опитування відповідальних осіб
.2	Визначте додаткові налаштовані правила брандмауера та визначте частоту перегляду відповідності та чи чітко визначено виключення для кожного облікового запису зберігання. Довідково. Створіть популяцію підписок, груп ресурсів або індивідуальних облікових записів зберігання в межах і оцініть, Чи зберігання облікові записи та чи налаштовано для публічного доступу до Інтернету чи захищено призначенням віртуальних мереж і правил брандмауера. Довідково. На порталі Azure знайдіть облікові записи зберігання. Виберіть імена облікових записів, які потрібно перевірити, і окремо перевірте підменю «Брандмауери» та «Віртуальні мережі», щоб перевірити відповідність таких атрибутів: Дозволити доступ з (усі мережі, наприклад, Інтернет або вибрані мережі); Якщо вибрані мережі перемикаються, перевірте кожну визначена віртуальна мережа для відповідності з використанням управлінської документації. Брандмауер (дозволяє вхідний зовнішній Інтернет-трафік або локальні IP-адреси) Винятки (дозволяє службам Microsoft отримувати доступ до облікового запису або читати доступ до показників зберігання та журналів з будь- якої мережі)	Фактична перевірка
	Досягнуто ціль контролю підпроцесу?

Переліки питань та мінімальний обсяг тестувань засобів контролю визначені на основі програми аудиту Microsoft Azure, яку розробили експерти ISACA [10].

Також слід враховувати, що ІТ аудитори відповідно до стандарту 1204 «Суттєвість» ITAF™ повинні розкривати наступну інформацію за результатами проведення тестувань:

відсутність контролів чи їх неефективність;

значущість порушення контролів;

ймовірність того, що такі вразливі місця призведуть до значного порушення чи суттєвого недоліку.

За результатами проведених аудиторських процедур щодо дослідження вищезазначених процесів необхідно:

задокументувати попередні аудиторські висновки щодо ефективності засобів контролю та визначити чи є загальний контроль ефективним або неефективним за результатами проведення тестувань процесів, чи досягаються визначені цілі;

оцінити чи є зібрані докази достатніми для оцінки ефективності засобів контролю. У разі обґрунтованих сумнівів аудитор може призначити додаткові кроки дослідження засобів контролю та додаткові тестування, зокрема за найбільш поширеними ризиками про які зазначалося вище;

перевірити чи отримані докази є достатніми та відповідними (докази є достатніми та відповідними, якщо вони обґрунтовують результати і висновки в рамках цілей аудиту), оцінити та задокументувати їх (стандарт виконання: 2205 «Докази» ITAF), включаючи:

здійснені процедури;

результати здійснених процедур;

вихідну документацію (в електронному чи паперовому форматі),

записи та підтверджуючу інформацію для обґрунтування завдання з ІТ аудиту хмарних послуг;

документацію про виконання роботи у відповідності до діючих законів, нормативних документів і політик;

підготувати та узгодити з публічним користувачем, що підлягав ІТ аудиту, пропозицій та рекомендації щодо заходів з подальшої діяльності, які дозволять (під час ІТ аудита та/ або у короткостроковій перспективі після його завершення) визначити конкретні кроки для впровадження коригувальних заходів, які сприятимуть досягненню визначених цілей [9].



Висновки

З огляду на зазначене, за результатами ІТ аудиту хмарних послуг Microsoft Azure аудитори запропонують пропозиції та рекомендації, які будуть сприяти дотриманню Azure Well-Architected Framework публічними користувачами, покращать якість робочого навантаження, оптимізують заходи безпеки (єдиний вхід з використанням SAML, OAuth і вбудованих

можливостей Azure AD Connect, політика керування привілейованими ідентифікаційними даними) тощо.

При цьому слід зазначити, що наразі є нагальна потреба розроблення національних стандартів у сфері кібербезпеки, зокрема організаційних та технічних вимог, що стосуються безпеки моделей хмарних обчислень, з урахуванням європейських та міжнародних стандартів.

З огляду на вищезазначене, можна зазначити, що зберігання даних публічних користувачів у хмарних сховищах сприятиме зменшенню витрат на побудову та розширення хмарних обчислень держави, стимулюватиме перехід на хмарну модель у більшості секторів економіки України, що надзвичайно важливо в період збройної агресії та ризиків знищення критичної інфраструктури, та створить умови для ефективного використання державних ресурсів шляхом впровадження нових технологій при обробці державних інформаційних ресурсів.



Література

Про хмарні послуги. [Електронний ресурс]. - Режим доступу: https://zakon.rada.gov.ua/ laws/ show/2075-20#T ext

Introducing Azure Well-Architected Framework Assessments for Azure Stack Hub (Preview) [Електронний ресурс]. - Режим доступу: https://techcommunity.microsoft.com/t5/azure- architecture-blog/introducing-azure-well-architected-framework-assessments-for/ba-p/3573305

Огляд основ безпеки. [Електронний ресурс]. - Режим доступу: https://learn.microsoft.com/ ru-ru/azure/architecture/framework/ security/overview

Огляд основних принципів оптимізації затрат. [Електронний ресурс]. - Режим доступу: https://learn.microsoft.com/ru-ru /azure/architecture/framework/cost/ overview

Принципи рівнів продуктивності. [Електронний ресурс]. - Режим доступу: https://learn.microsoft.com/ru-ru/azure/architecture/framework/scalability/principles

Котух Є.В. Кібербезпека у публічному секторі: монографія. Харків: Колегіум, 2021. 271 с.

Marshall Copeland & Matthew Jacobs. Cyber Security on Azure: An IT Professional's

Guide to Microsoft Azure Security / eStudioCalamar, 2021.278 с.

Hrytsai, S. "Classification of virtual assets in Ukraine." Journal of the National Academy of Legal Sciences of Ukraine 30.1 (2023): 135-152. https://doi.org/10.31359/1993-0909-2023-30-1-135



References

Pro hmarni poslugy [About cloud services]. (n.d.). zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/laws/show/2075-20#Text [in Ukrainian]

Introducing Azure Well-Architected Framework Assessments for Azure Stack Hub (Preview) (n.d.). microsoft.com. Retrieved from https://techcommunity.microsoft.com/t5/azure- architecture-blog/introducing-azure-well-architected-framework-assessments-for/ba-p/3573305

Oglyiad osnov bezpeky [Review of security fundamentals] (n.d.). microsoft.com. Retrieved from https://learn.microsoft.com/ru-ru/azure/architecture/framework/ security/overview

Oglyiad osnovnyh pryntsipiv optymizatsii zatrat [Review of main principles of cost optimization] (n.d.). microsoft.com Retrieved from https://learn.microsoft.com/ru-ru/azure/ architecture/framework/cost/ overview

Pryntsypy rivniv produktyvnosti [Principles of performance levels] (n.d.). microsoft.com Retrieved from https://learn.microsoft.com/ru-ru/azure/ architecture/ framework/cost/ overview

Kotukh, Yevgen. (2021) Kiberbezpeka v publcihnomu sectori [Cybersecurity in public sector] Kharkiv, Collegium [in Ukrainian].

Marshall Copeland & Matthew Jacobs. Cyber Security on Azure: An IT Professional's Guide to Microsoft Azure Security / eStudioCalamar, 2021.

Hrytsai, S. "Classification of virtual assets in Ukraine." Journal of the National Academy of Legal Sciences of Ukraine 30.1 (2023): 135-152. https://doi.org/10.31359/1993-0909-2023-30-1-135

Размещено на Allbest.ru

...