• Кращі поради: Як змінити роздільну здатність екрана монітора Чому не встановлюється потрібна роздільна здатність екрана
• Зависла бездротова мишка на комп'ютері
• Автозавантаження програм, що стартують з операційною системою
• Як дізнатися свій номер телефону МТС?
• Найкращі бюджетні смартфони з гарною камерою Огляд недорогих смартфонів з гарною камерою
• Як можна телефоном та планшетом керувати телевізором і які програми потрібні?
• Використання прихованих нотаток у телефонах сяомі
• Samsung Galaxy Ace S5830: характеристики, опис, відгуки Телефон Samsung Асе
• Датчик наближення в телефоні, як включити, відключити, калібрування датчика Як включити датчик наближення на хонор 10
• Як дізнатися баланс іншого абонента «МТС»: всі можливі способи Спеціальний мобільний додаток

Існує кілька методів побудови корпоративної ІТ-інфраструктури. Розгортання всіх ресурсів та сервісів на базі хмарної платформи – лише один із них. Однак перепоною на цьому шляху часто стають забобони щодо безпеки хмарних рішень. У цій статті ми розберемося, як влаштована система безпеки у хмарі одного з найвідоміших російських провайдерів- Яндекса.

Казка - брехня, та в ній натяк

Початок цієї історії можна розповідати як відому казку. Було у фірмі три адміни: старший розумний був дитину, середній був і так і сяк, молодший був… стажером-енікейником. Заводив користувачів Active Directory і крутив хвости цискам. Настав час компанії розширюватися і закликав цар, тобто бос, своє адмінське воїнство. Бажаю, каже, нові веб-сервіси для наших клієнтів, власне файлове сховище, керовані бази даних та віртуальні машини для тестування софту.

Молоденький з ходу запропонував створити з нуля власну інфраструктуру: закупити сервери, встановити та налаштувати софт, розширити основний інтернет-канал та додати до нього резервний – для надійності. І фірмі спокійніше: залізо завжди під рукою, будь-якої миті чогось замінити або переналаштувати можна, і самому йому здасться чудова можливість прокачати свої адмінські скіли. Підрахували і розплакалися: не потягне компанія таких витрат. Величезному бізнесу подібне під силу, а от для середнього та малого – надто накладно виходить. Це ж потрібно не просто обладнання придбати, серверну обладнати, кондиціонери повісити та протипожежну сигналізацію налагодити, потрібно ще й позмінне чергування організувати, щоб вдень та вночі за порядком стежити та відбивати мережеві атаки лихих людей з інтернету. А вночі та у вихідні адміни працювати чомусь не захотіли. Якщо лише за подвійну оплату.

Старший адмін замислено подивився у віконце терміналу і запропонував помістити всі сервіси в хмару. Але тут його колеги почали лякати один одного страшилками: мовляв, хмарна інфраструктура має незахищені інтерфейси та API, погано балансує навантаження різних клієнтів, через що можуть постраждати твої власні ресурси, а ще нестійка до крадіжки даних та зовнішніх атак. Та й взагалі, боязко передавати контроль над критичними даними та ПЗ стороннім особамз якими ти не з'їв пуд солі і не випив цебро пива.

Середній подав ідею розмістити всю IT-систему в дата-центрі провайдера, на його каналах. На тому й вирішили. Однак тут на нашу трійцю чекало кілька несподіванок, не всі з яких виявилися приємними.

По-перше, будь-яка мережна інфраструктура вимагає обов'язкової наявності засобів захисту та безпеки, які, звичайно, були розгорнуті, налаштовані та запущені. Тільки ось вартість апаратних ресурсів, що використовуються ними, як виявилося, повинен оплачувати сам клієнт. А ресурси сучасна системаІБ споживає чималі.

По-друге, бізнес продовжував зростати і побудована спочатку інфраструктура швидко вперлася в стелю масштабованості. При цьому для її розширення простої зміни тарифу виявилося недостатньо: багато сервісів у цьому випадку довелося б переносити на інші сервери, переналаштовувати, а дещо перепроектувати заново.

Зрештою, одного разу через критичну вразливість в одному з додатків вся система впала. Адміни швидко підняли її з резервних копійТільки оперативно розібратися в причинах того, що трапилося, не вдалося, оскільки для сервісів логування резервне копіюванняналаштувати забули. Цінний час було втрачено, а час, як каже народна мудрість, - це гроші.

Підрахунок витрат і підбиття підсумків привели керівництво компанії до невтішних висновків: мав рацію той адмін, який із самого початку пропонував скористатися хмарною моделлю IaaS - «інфраструктура як сервіс». Що ж до безпеки таких платформ, то про це варто поговорити окремо. І зробимо ми це на прикладі найпопулярнішого з подібних сервісів – Яндекс.Хмари.

Безпека в Яндекс.Хмарі

Почнемо, як радив дівчинці Алісі Чеширський Кіт, із початку. Тобто щодо розмежування відповідальності. В Яндекс.Хмарі, як і в будь-яких інших подібних платформах, провайдер відповідає за безпеку сервісів, що надаються користувачам, у той час як до сфери відповідальності самого клієнта входить забезпечення правильної роботи програм, що розробляються ним, організація та розмежування віддаленого доступудо виділених ресурсів, конфігурування баз даних та віртуальних машин, контроль за веденням логів. Проте для цього йому надається весь необхідний інструментарій.

Безпека cloud-інфраструктури Яндекса має кілька рівнів, на кожному з яких реалізовано власні принципи захисту та застосовується окремий арсенал технологій.

Фізичний рівень

Ні для кого не секрет, що Яндекс має власні дата-центри, які обслуговують власні ж відділи безпеки. Йдеться не тільки про відеоспостереження та служби контролю доступу, покликані запобігти проникненню в серверні сторонніх, але й про системи підтримки клімату, пожежогасіння та безперебійного живлення. Від суворих охоронців мало користі, якщо стійку з вашими серверами одного разу заллє водою з протипожежних зрошувачів або вони перегріються після відмови кондиціонера. У дата-центрах Яндекса такого з ними точно не станеться.

Крім того, апаратні засоби Хмари фізично відокремлені від «великого Яндекса»: вони розташовані в різних стійках, але так само проходять регулярне регламентне обслуговування та заміну комплектуючих. На межі цих двох інфраструктур використовуються апаратні файрволи, а всередині Хмари – програмний Host-based Firewall. Крім того, на комутаторах Top-of-the-rack використовується система управління доступом ACL (Access Control List), що значно підвищує безпеку всієї інфраструктури. Яндекс на постійній основі проводить сканування Хмари ззовні у пошуках відкритих портів та помилок у конфігурації, завдяки чому потенційну вразливість можна розпізнати та ліквідувати заздалегідь. Для працюючих з ресурсами Хмари співробітників реалізовано централізовану систему аутентифікації за ключами SSH з рольовою моделлю доступу, а всі сесії адміністраторів логуються. Такий підхід є частиною моделі Secure by default, що повсюдно застосовується Яндексом: безпека закладається в IT-інфраструктуру ще на етапі її проектування та розробки, а не додається потім, коли все вже запущено в експлуатацію.

Інфраструктурний рівень

На рівні «апаратно-програмної логіки» в Яндекс.Хмарі використовуються три інфраструктурні сервіси: Compute Cloud, Virtual Private Cloud та Yandex Managed Services. А тепер про кожного з них трохи докладніше.

Compute Cloud

Цей сервіс надає обчислювальні потужності, що масштабуються, для різних завдань, таких як розміщення веб-проектів і високонавантажених сервісів, тестування і прототипування або тимчасова міграція IT-інфраструктури на період ремонту або заміни власного обладнання. Керувати сервісом можна через консоль, командний рядок(CLI), SDK або API.

Безпека Compute Cloud базується на тому, що всі клієнтські віртуальні машини використовують щонайменше два ядра, а при розподілі пам'яті не застосовується overcommitment. Оскільки в цьому випадку на ядрі виконується тільки клієнтський код, система не схильна до вразливостей на кшталт L1TF, Spectre і Meltdown або атак на побічні канали.

Крім того, Яндекс використовує власне складання Qemu/KVM, в якому відключено все зайве, залишено лише мінімальний набір коду та бібліотек, необхідних для роботи гіпервізорів. При цьому процеси запускаються під контролем інструментарію на базі AppArmor, який з використанням безпекових політик визначає, до яких системним ресурсамі з якими привілеями може отримати доступ той чи інший додаток. AppArmor, що працює поверх кожної віртуальної машини, зменшує ризик того, що клієнтська програма зможе отримати доступ з ВМ до гіпервізору. Для отримання та обробки логів Яндекс вибудував процес постачання даних від AppArmor та пісочниць у власний Splunk.

Virtual Private Cloud

Сервіс Virtual Private Cloud дозволяє створювати хмарні мережі, які використовуються для передачі інформації між різними ресурсами та їх зв'язку з Інтернетом. Фізично цей сервіс підтримується трьома незалежними ЦОДами. У цьому середовищі логічна ізоляція складає рівні многопротокольного взаємодії - MPLS. При цьому Яндекс постійно проводить fuzzing стику SDN та гіпервізора, тобто з боку віртуальних машин у зовнішнє середовище безперервно прямує потік неправильно сформованих пакетів з метою отримати відгук від SDN, проаналізувати його та закрити можливі проломи у конфігурації. Захист від DDoS-атак під час створення віртуальних машин включається автоматично.

Yandex Managed Services

Yandex Managed Services – це програмне оточення для управління різними сервісами: СУБД, кластерами Kubernetes, віртуальними серверамив інфраструктурі Яндекс.Хмари. Тут більшу частину роботи із забезпечення безпеки сервіс перебирає. Все резервне копіювання, шифрування резервних копій, Vulnerability management тощо забезпечується автоматично програмними засобамиЯндекс.Хмари.

Інструменти реагування на інциденти

Для своєчасного реагування на інциденти, пов'язані з інформаційною безпекою, потрібно вчасно визначити джерело проблеми. Для чого необхідно використовувати надійні засоби моніторингу, які мають працювати цілодобово та без збоїв. Такі системи неминуче витрачатимуть ресурси, але Яндекс.Хмара не перекладає вартість обчислювальних потужностей інструментів безпеки на користувачів платформи.

При виборі інструментарію Яндекс керувався ще однією важливою вимогою: у разі успішної експлуатації 0day-уразливості в одній із програм зловмисник не повинен вийти за межі хоста програми, тоді як команда безпеки повинна моментально дізнатися про інцидент і зреагувати належним чином.

І останнє, але не найменш важливе побажання полягало в тому, щоб усі інструменти мали відкритий вихідний код. Цим критеріям повністю відповідає зв'язка AppArmor + Osquery, яку вирішено було використовувати в Яндекс.Хмарі.

AppArmor

AppArmor вже згадувався вище: це програмний інструмент запобіжного захисту, заснований на профілях безпеки, що настроюються. Профілі використовують технологію розмежування доступу на основі міток конфіденційності Mandatory Access Control (MAC), що реалізується за допомогою LSM безпосередньо в самому ядрі Linux, починаючи з версії 2.6. Розробники Яндекса зупинили свій вибір на AppArmor з таких міркувань:

• легкість та швидкодія, оскільки інструмент спирається на частину ядра ОС Linux;
• це рішення з відкритим вихідним кодом;
• AppArmor можна швидко розгорнути в Linux без необхідності писати код;
• можлива гнучке налаштуванняза допомогою файлів конфігурації.

Osquery

Osquery - це інструмент моніторингу безпеки системи, розроблений компанією Facebook, зараз він успішно застосовується в багатьох галузях IT. При цьому інструмент є крос-платформним і має відкритий вихідний код.

За допомогою Osquery можна збирати інформацію про стан різних компонентів операційної системи, акумулювати її, трансформувати у стандартизований формат JSON та спрямовувати обраному одержувачу. Цей інструмент дозволяє писати та направляти додатку стандартні SQL-запити, які зберігаються у базі даних rocksdb. Можна настроїти періодичність та умови виконання або обробки цих запитів.

У стандартних таблицях вже реалізовано багато можливостей, наприклад, можна отримати список запущених у системі процесів, встановлених пакетів, поточний набір правил iptables, сутності crontab та інше. «З коробки» реалізовано підтримку отримання та парсингу подій із системи аудиту ядра (використовується в Яндекс.Хмарі для обробки подій AppArmor).

Сам Osquery написаний на C++ і поширюється з відкритими вихідниками, можна їх модифікувати як додавати нові таблиці в основну кодову базу, і створювати свої розширення на C, Go чи Python.

Корисна особливість Osquery – наявність розподіленої системи запитів, за допомогою якої можна в режимі реального часу виконувати запити до всіх віртуальних машин, що знаходяться у мережі. Це може бути корисним, наприклад, якщо виявлено вразливість у якомусь пакеті: за допомогою одного запиту можна отримати список машин, на яких встановлений цей пакет. Така можливість широко використовується для адміністрування великих розподілених систем зі складною інфраструктурою.

Висновки

Якщо ми повернемося до історії, розказаної на початку цієї статті, то побачимо, що побоювання, що змусили наших героїв відмовитися від розгортання інфраструктури на хмарній платформі, виявилися безпідставними. Принаймні, якщо йдеться про Яндекс.Хмарі. Безпека створеної Яндексом cloud-інфраструктури має багаторівневу ешелоновану архітектуру і тому забезпечує високий рівень захисту від більшості відомих на сьогодні загроз.

При цьому за рахунок економії на регламентному обслуговуванні заліза та оплаті ресурсів, що споживаються системами моніторингу та попередження інцидентів, які бере на себе Яндекс, використання Яндекс.Хмари помітно заощаджує кошти малому та середньому бізнесу. Безумовно, повністю відмовитися від відділу IT або департаменту, який відповідає за інформаційну безпеку (особливо якщо обидві ці ролі об'єднані в одній команді), не вийде. Але Яндекс.Хмара суттєво знизить трудовитрати та накладні витрати.

Оскільки Яндекс.Хмара надає своїм клієнтам захищену інфраструктуру з усіма необхідними інструментамизабезпечення безпеки, вони можуть зосередитися на бізнес-процесах, залишивши завдання сервісного обслуговування та моніторингу заліза провайдеру. Це не усуває необхідності поточного адміністрування ВМ, БД та додатків, але таке коло завдань довелося б вирішувати у будь-якому випадку. Загалом можна сказати, що Яндекс.Хмара економить не лише гроші, а й час. А друге, на відміну від першого, непоправний ресурс.

ГРИГОР'ЄВ1 Віталій Робертович, кандидат технічних наук, доцент КУЗНЕЦОВ2 Володимир Сергійович

ПРОБЛЕМИ ВИявлення вразливостей у моделі хмарних обчислень

У статті наведено огляд підходів до побудови концептуальної моделі хмарних обчислень, а також проведено порівняння існуючих поглядів до виявлення вразливостей, які притаманні системам, побудованим на основі цієї моделі. Ключові слова: хмарні обчислення, вразливість, ядро ​​погроз, віртуалізація.

Метою цієї статті є огляд підходів до побудови концептуальної моделі хмарних обчислень, наведеної в документі «NIST Cloud Computing Reference Architecture», та порівняння поглядів організацій, що ведуть у цій галузі, на вразливості в умовах даної моделі обчислень, а також основних гравців на ринку створення хмарних систем.

Хмарні обчислення – це модель, що забезпечує зручний мережевий доступна вимогу до загальних конфігурованих обчислювальних ресурсів (мереж, серверів, сховищ даних, додатків та сервісів), який оперативно надається з мінімальними зусиллями з управління та взаємодії з сервіс-провайдером. Це визначення Національного інституту стандартів (NIST) поширене у всій галузі. Визначення хмарних обчислень включає п'ять основних базових характеристик, три сервісні моделі та чотири моделі розгортання.

П'ять основних характеристик

Самообслуговування на вимогу

Користувачі здатні отримувати, контролювати та керувати обчислювальними ресурсами без допомоги системних адміністраторів. Широкий мережевий доступ - обчислювальні послуги надаються через стандартні мережі та гетерогенні пристрої.

Оперативна еластичність - 1Т-

ресурси можуть оперативно масштабуватися у будь-який бік при необхідності.

Пул ресурсів - 1Т-ресурси спільно використовуються різними програмами та користувачами в незв'язаному режимі.

Розрахунок вартості послуги - використання 1Т-ресурсу відстежується за кожним додатком та користувачем, як правило, щоб забезпечити білінг по публічній хмарі та внутрішні розрахунки за використання приватних хмар.

Три сервісні моделі

ПЗ як послуга (SaaS) - зазвичай програми надаються кінцевим користувачам як послуга через веб-браузер. На сьогодні є сотні пропозицій SaaS, від горизонтальних програм підприємств до спеціалізованих пропозицій щодо окремих галузей, а також споживчі програми, такі як електронна пошта.

Платформа як послуга (PaaS) - платформа для розробки та розгортання додатків надається як послуга розробникам для створення, розгортання та керування програмами SaaS. Зазвичай платформа включає бази даних, ПЗ середнього шару та інструменти для розробки, причому все це надається як послуга через Інтернет. PaaS часто орієнтується на мову програмування або API, наприклад Java або Python. Віртуалізована кластерна архітектура розподілених обчислень часто є базою для систем

1 – МДТУ МИРЕА, доцент кафедри Інформаційна безпека;

2 – Московський Державний Університет Радіоелектроніки та Автоматики (МДТУ МИРЕА), студент.

РааЯ, оскільки грід-структура мережного ресурсу забезпечує необхідну еластичну масштабованість та об'єднання ресурсів. Інфраструктура як послуга (IaaS) - сервери, сховища даних та мережне апаратне забезпеченнянадаються як послуга. Це інфраструктурне обладнання часто віртуалізоване, тому віртуалізація, управління та ПЗ операційної системи також є елементами 1ааЯ.

Чотири моделі розгортання

Приватні хмари - призначені для виняткового використання однією організацією і зазвичай контролюються, керуються та хостируються приватними центрами даних. Хостинг і управління приватними хмарами можуть бути передані на аутсорсинг зовнішньому сервіс-провайдеру,

ну хмару залишається у винятковому користуванні однієї організації. Публічні хмари - використовуються багатьма організаціями (користувачами) спільно, обслуговуються та керуються зовнішніми сервіс-провайдерами.

Групові хмари - використовуються групою родинних організацій, які бажають скористатися загальним хмарним обчислювальним середовищем. Наприклад, групу можуть скласти різноманітні збройних сил, всі університети даного регіону чи всі постачальники великого виробника.

Гібридні хмари - з'являються, коли організація використовує як приватну, так і публічну хмару для однієї й тієї ж програми, щоб скористатися перевагами обох. Наприклад, за «зливового» сценарію організація-користувач у разі стандартного навантаження на додаток

користується приватною хмарою, а коли навантаження пікове, наприклад, наприкінці кварталу або у святковий сезон, задіює потенціал публічної хмари, згодом повертаючи ці ресурси до загального пулу, коли потреба в них відсутня.

На рис. 1 представлено концептуальну модель хмарних обчислень згідно з документом «NIST Cloud Computing Reference Architecture». Згідно з представленою на рис. 1 моделі в стандарті виділяються основні учасники хмарної системи: споживач хмар, хмарний провайдер, хмарний аудитор, хмарний брокер, хмарний посередник. Кожен учасник - це людина або організація, яка виконує свої функції з реалізації або надання хмарних обчислень. Хмарний споживач - особа або організація, яка підтримує бізнес-взаємодія з іншими ак-

Хмарний споживач

Хмарний аудитор

З Аудит Л I безпеки J

I Аудит конфі- Л I денційності J

(Аудит послуг, що надаються J |

Хмарний провайдер

Комплекс рівнів

Рівень користувача

^ Сервіс як послуга ^ ^ Платформа як послуга ^ Інфраструктура як послуга)

Рівень абстракції

Фізичний рівень

Хмарний сервіс

^ Підтримка J ^ Налаштування J

Переносність

Хмарний брокер

Хмарний посередник

Рис. 1. Концептуальна модель, розроблена фахівцями NIST

торами мережі та використовує послуги від хмарних провайдерів. Хмарний провайдер - особа, організація або будь-хто, що відповідає за доступність послуг, що надаються зацікавленим споживачам. Хмарний аудитор – учасник, який може проводити незалежні оцінки хмарних сервісів, послуг та безпеки хмарної реалізації. Хмарний брокер - це учасник, який керує використанням, поточними характеристиками та доставкою споживачу хмарних сервісів, а також узгоджує взаємодію між хмарними провайдерами та хмарними споживачами. Хмарний посередник – посередник, який надає зв'язок та доставку хмарних сервісів між хмарними провайдерами та хмарними споживачами.

Переваги та проблеми хмарних обчислень

Останні опитування фахівців у галузі 1Т-технологій показують, що хмарні обчислення пропонують два головні плюси при організації розподілених послуг – швидкість та вартість. Завдяки автономному доступу до пулу обчислювальних ресурсів користувачі можуть включатися в процеси, що їх цікавлять, в лічені хвилини, а не через тижні або місяці, як це було раніше. Зміна обчислювального потенціалу також проводиться швидко завдяки еластично масштабованій грід-архітектурі обчислювального середовища. Так як у хмарних обчисленнях користувачі платять тільки за те, що використовують, а можливості масштабування та автоматизації досягають високого рівня, співвідношення вартості та ефективності послуг, що надаються, є також дуже привабливим фактором для всіх учасників обмінних процесів.

Ті самі опитування показують, що існує низка серйозних міркувань, які утримують деякі компанії від переходу до хмари. Серед цих міркувань із великим відривом лідирують питання забезпечення безпеки хмарних обчислень.

Для адекватної оцінки безпеки в хмарних системах є сенс дослідити погляди на загрози цій галузі основних гравців ринку. Ми порівняємо існуючі підходи до загроз у хмарних системах, представлені у документі NIST Cloud Computing Standards Roadmap з підходами, які пропонують компанії IBM, Oracle та VmWare.

Стандарт безпеки хмарних обчислень, прийнятий Національним інститутом стандартів ^ВС США

Стандарт безпеки хмарних обчислень (NIST Cloud Computing Standards Roadmap), прийнятий у NIST, охоплює можливі потенційні типи атак на сервіси хмарних обчислень:

♦ компрометація конфіденційності та доступності даних, що передаються хмарними провайдерами;

♦ атаки, що виходять з особливостей структури та можливостей середовища хмарних обчислень для посилення та збільшення шкоди від атак;

♦ неавторизований доступ споживача (за допомогою некоректної автентифікації чи авторизації, або вразливостей, внесених засобами періодичного технічного обслуговування) до ПЗ, даних та ресурсів, що використовуються авторизованим споживачем хмарного сервісу;

♦ збільшення рівня мережевих атак, таких як DoS, що експлуатують ПЗ, при розробці якого не враховувалася модель загроз для розподілених ресурсів інтернету, а також уразливості в ресурсах, доступних із приватних мереж;

♦ обмежені можливості щодо шифрування даних у середовищі з великою кількістю учасників;

♦ переносимість, що виникає в результаті використання нестандартних API, які ускладнюють хмарному споживачеві можливість переходу до нового хмарного провайдера, коли вимоги доступності не виконуються;

♦ атаки, що експлуатують фізичну абстракцію хмарних ресурсів, та експлуатуючі недоліки у записах та процедурах аудиту;

♦ атаки на віртуальні машини, які не були належним чином оновлені;

♦ атаки, що експлуатують нестиковки у глобальних та приватних безпекових політиках.

Також стандарт виділяє основні завдання безпеки для хмарних обчислень:

♦ захист даних від неавторизованого доступу, розкриття, модифікації або перегляду; має на увазі підтримку сервісу ідентифікації таким чином, що споживач має можливість виконати ідентифікацію та політику контролю доступу на авторизованих користувачах, які мають доступ до хмарних сервісів; такий підхід передбачає можливість споживача надати доступ до його даних вибірково іншим користувачам;

♦ захист від «ланцюгових» (supply chain threats) загроз; включає підтвердження ступеня довіри і надійності сервіс провайдера в тій же мірі, що і ступінь довіри використовуваного ПЗ і «заліза»;

♦ запобігання неавторизованому доступу до ресурсів хмарних обчислень; включає створення захищених доменів які логічно відокремлені від ресурсів (наприклад, логічний поділ робочих навантажень, запущених на тому самому фізичному сервері за допомогою гіпервізора в середовищі з мультиорендуванням) і використання безпечних за умовчанням конфігурацій;

♦ розробка веб-додатків, розгорнутих у хмарі, для моделі загроз розподілених ресурсів інтернету та вбудовування функцій щодо забезпечення безпеки у процес розробки ПЗ;

♦ захист інтернет-браузерів від атак для пом'якшення слабких місць безпеки кінцевого користувача; включає прийняття заходів для захисту інтернет-з'єднання персональних комп'ютерів на основі використання безпечного ПЗ, міжмережевих екранів (файр-волів) і періодичної установки оновлень;

♦ розгортання контролю доступу та технологій виявлення вторже-

ній у хмарного провайдера та проведення незалежної оцінки, для перевірки наявності цих; включає (але цим не обмежується) традиційні заходи з безпеки периметра в поєднанні з моделлю безпеки домену; традиційна безпека периметра включає обмеження фізичного доступу до мережі та пристроїв, захист індивідуальних компонентів від експлуатації за допомогою розгортання оновлень, установкою за замовчуванням більшості налаштувань безпеки, відключенням всіх портів і сервісів, що не використовуються, використанням рольового управління доступом, моніторингом записів аудиту, мінімізуванням використовуваних використанням антивірусних пакетів та шифруванням сполук;

♦ завдання довірених кордонів між сервіс-провайдером (ами) та споживачами для того, щоб переконатися у ясності авторизованої відповідальності за надання безпеки;

♦ підтримка переносимості, що здійснюється для того, щоб споживач мав можливість змінити хмарного провайдера в тих випадках, коли у нього виникає необхідність щодо задоволення вимог щодо цілісності, доступності, конфіденційності; це включає можливість закрити акаунт в Наразіта копіювати дані від одного сервіс-провайдера до іншого.

Таким чином, Стандарт безпеки хмарних обчислень (NIST Cloud Computing Standards Roadmap), прийнятий у NIST, визначає базовий список атак на хмарні системи та список основних завдань, які мають

вирішуватись за допомогою застосування

відповідних заходів.

Сформулюємо погрози інформаційної безпекихмарної системи:

♦ У1 – загроза (компрометації, доступності, etc...) даним;

♦ У2 – загрози, що породжуються особливостями структури та можливостями архітектури реалізації розподілених обчислень;

♦ У4 – загрози, пов'язані з некоректною моделлю загроз;

♦ У5 - погрози, пов'язані з некоректним використанням шифрування (необхідне використання шифрування в середовищі, де є кілька потоків даних);

♦ У6 – загрози, пов'язані з використанням нестандартних API при розробці;

♦ У7 – загрози віртуалізації;

♦ У8 - загрози, що експлуатують нестиковки у глобальних безпекових політиках.

Погляд на проблеми безпеки хмарних обчислень, прийнятий в компанії IBM

Документ Cloud Security Guidance IBM Recommendations for Implementation of Cloud Security дозволяє зробити висновки щодо поглядів на забезпечення безпеки, сформованих фахівцями компанії IBM. На основі цього документа ми можемо розширити запропонований раніше список загроз, а саме:

♦ У9 - загрози, пов'язані з доступом сторонніх осіб до фізичних ресурсів/систем;

♦ У10 - загрози, пов'язані з некоректною утилізацією ( життєвий цикл) персональної інформації;

♦ У11 – загрози, пов'язані з порушенням регіональних, національних та міжнародних законів, що стосуються оброблюваної інформації.

Підходи компаній IBM, Oracle та VmWare до забезпечення безпеки хмарних обчислень

Документація, що надається даними компаніями та описує погляди на забезпечення безпеки в їх системах, не дає принципово відмінних від наведених вище загроз.

У табл. 1 наводяться основні класи вразливостей, сформульовані компаніями у своїх продуктах. Табл. 1 дозволяє побачити відсутність повного покриття загроз у досліджених компаній та сформулювати «ядро загроз», створене компаніями у своїх хмарних системах:

♦ загроза даним;

♦ загрози, що ґрунтуються на структурі\ можливостях розподілених обчислень;

♦ загрози, пов'язані з некоректною моделлю загроз;

♦ загрози віртуалізації.

Висновок

Огляд основних класів уразливостей хмарної платформи дозволяє зробити висновок, що в даний час не існує готових рішеньдля повноцінного захисту хмари через різноманітність атак, що використовують дані вразливості.

Слід зазначити, що побудована таблиця класів уразливостей (табл. 1), що інтегрує підходи провідних до

Таблиця 1. Класи вразливості

Джерело Декларовані погрози

У1 У2 У3 У4 У5 У6 У7 У8 У9 У10 У11

NIST + + + + + + + + - - - -

IBM + + + + + - + - + + +

Sun/Oracle + + + + - - + - - + -

VmWare + + + + - - + - - - - -

цієї галузі гравців не вичерпується представленими в ній погрозами. Так, наприклад, у ній не відображено загрози, пов'язані зі стиранням кордонів між середовищами з різними рівнями конфіденційності даних, а також зі стиранням кордонів відповідальності за інформаційну безпеку між споживачем послуг та хмарним провайдером.

Стає очевидним, що з реалізації складної хмарної системи захист необхідно розробляти під конкретну реалізацію. Також важливу роль у реалізації безпечних обчислень у віртуальних середовищах відіграє відсутність стандартів ФСТЕК та ФСБ для хмарних систем. Виділене в роботі «ядро загроз» має сенс використовувати при дослідженні.

дованні завдання побудови уніфікованої моделі класів уразливостей. Ця стаття має оглядовий характер, в подальшому планується докладно проаналізувати класи загроз, пов'язані з віртуалізацією, розробити підходи до створення системи захисту, яка потенційно запобігає реалізації цих загроз.

Література

1. Cloud Security Guidance IBM Recommendations for Implementation of Cloud Security, ibm.com/redbooks, November 2, 2009.

2. http://www.vmware.com/technical-resources/security/index.html.

3. NIST Cloud. Computing Reference Architecture, National Institute of Standards and. Technology, Special Publication. 500-292, September 2011.

4. NIST Cloud. Computing Standards Map, National Institute of Standards and. Technology, Special Publication. 500-291, July 2011.

5. http://www.oracle.com/technetwork/indexes/documentation/index.html.

Оплата праці є мотивуючим чинником, тільки якщо вона безпосередньо пов'язана з результатами праці. Працівники повинні бути переконані в наявності сталого зв'язку між одержуваною матеріальною винагородою та продуктивністю праці. У заробітній платі обов'язково має бути присутня складова, яка залежить від досягнутих результатів. Для російської ментальності характерне прагнення до колективної праці, визнання та поваги колег тощо.

Сьогодні, коли через складну економічну ситуацію важко високу оплату праці, особливу увагуслід приділяти нематеріальному стимулюванню, створюючи гнучку систему пільг для працівників, гуманізуючи працю, зокрема:

1. визнавати цінність працівника в організацію, надавати йому творчу свободу;

2. застосовувати програми збагачення праці та ротації кадрів;

3. використовувати ковзний графік, неповний робочий тиждень, можливість працювати як на робочому місці, так і вдома;

4. встановлювати працівникам знижки на продукцію, що випускається компанією, де вони працюють;

5. надавати кошти на проведення відпочинку і дозвілля, забезпечувати безкоштовними путівками, видавати кредит купівлю житла, садової ділянки, автомашин тощо.

Нижче буде сформульовано мотивуючі фактори організації праці, які ведуть до задоволення потреб вищих рівнів.
На своєму робочому місці кожен хоче показати, на що він здатний і що він означає для інших, тому потрібні визнання результатів діяльності конкретного працівника, надання можливості приймати рішення з питань, що належать до його компетенції, консультувати інших працівників. На робочих місцях слід формулювати світогляд єдиної команди: не можна руйнувати виникаючі неформальні групи, якщо де вони завдають реального шкоди цілям організації.

Практично кожен має власну думку про те, як поліпшити свою роботу. Спираючись на зацікавлену підтримку керівництва, не боячись санкцій, слід організувати роботу так, щоб у працівника не зникло бажання реалізувати свої плани. Тому, в якій формі, з якою швидкістю та яким способом працівники отримують інформацію, вони оцінюють свою реальну значущість в очах керівництва, тому не можна приймати рішення щодо змін у роботі співробітників без їх відома, навіть якщо зміни позитивні, а також ускладнювати доступ до необхідної інформації.

Інформація про якість праці співробітника має бути оперативною, масштабною та своєчасною. Працівнику потрібно надавати максимально можливий рівень самоконтролю. Більшість людей прагне у процесі роботи набути нових знань. Тому так важливо забезпечувати підлеглим можливість навчатися, заохочувати та розвивати їх творчі здібності.

Кожна людина прагне успіху. Успіх - це реалізовані цілі, задля досягнення яких працівник доклав максимум зусиль. Успіх без визнання призводить до розчарування, вбиває ініціативу. Цього не станеться, якщо підлеглим, який досяг успіху, делегувати додаткові права та повноваження, просувати їх службовими сходами.

ВИСНОВОК

Ефективність тієї чи іншої мотиваційної системи в практичній діяльності багато в чому залежить від органів управління, хоча за останні роки зроблено певні кроки до підвищення ролі самих підприємств до розробки власних систем мотивації, які на конкретному відрізку часу дозволяють втілювати в життя цілі та завдання, що стоять перед підприємствами. умовах ринкових відносин

Зараз навряд чи треба будь-кого переконувати, що мотивація є основним чинником спонукання працівників до високопродуктивної праці. У свою чергу, функціонування систем мотивації, їх розробка переважно залежать від працівників апарату управління, від їх кваліфікації, ділових якостей та інших якісних характеристик. Разом з тим як у період до переходу Росії до ринкових відносин, так і в даний час проблема мотивації залишається найактуальнішою і, на жаль, найбільш невирішеною в практичному плані проблемою. Вирішення цієї проблеми головним чином залежить від нас самих. Ми самі несемо відповідальність за своє життя та мотивацію до роботи. Однак видається, що багато хто з нас витрачає занадто багато часу, перш ніж наважується прийняти на себе головну відповідальність за зміст свого життя і бажання працювати. Ми звикли шукати причини своїх життєвих та робочих проблем спочатку поза нами.

Причини перебувають швидко: найближчі колеги по роботі, начальники, підлеглі, розподіл праці, атмосфера, спосіб управління, економічна кон'юнктура, нерозумна політика уряду та багато інших чинників, що лежать навіть за межами нашої країни. Багато хто з нас витрачає так багато часу на пояснення ефективності своєї роботи або небажання працювати, що протягом цього часу за його правильного використання можна було б досягти значно вищої мотивації, як власної, так і найближчого оточення.

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Подібні документи

Сутність, форми, принципи та системи оплати праці. Аналіз фонду оплати праці на прикладі у АТ "НКМЗ". Методи винагороди працівників, що застосовуються для підприємства. Напрями щодо вдосконалення системи оплати та мотивації праці до умов ринку.

Аналіз видів діяльності ТОВ УМТС "Сплав", характеристика системи організації обліку оплати праці. Система заробітної плати як важливий елемент організації оплати праці. Особливості методів мотивації праці працівників, структура фонду заробітної плати.

курсова робота, доданий 01.09.2012


Сутність та зміст категорії "мотивація праці". Теорії мотивації, їх суть та значення. Аналіз сучасного стану системи мотивації праці працівників у ТОВ "Світлана". Посилення мотиваційних чинників у сфері оплати праці, ефективність заходів.

курсова робота, доданий 18.05.2010


Розгляд форм, джерел формування фондів оплати праці, систем преміювання та заохочення працівників. Характеристика виробничо-господарської діяльності ВО "Пекар": аналіз собівартості продукції, рентабельності, організації та оплати праці.

дипломна робота, доданий 25.05.2010


Проблема стимулювання праці економіки. Характеристика традиційної системи оплати праці для підприємства. Діагностика трудової мотивації, ціннісних орієнтацій та задоволеності працею персоналу підприємства. Розробка фірмової системи оплати праці.

дипломна робота, доданий 08.09.2010


Система оплати праці: види, форми та порядок її нарахування. порядок оплати праці працівників медичних установ. Облік фінансування у бюджетних організаціях, аналіз основних показників. Проект заходів щодо вдосконалення системи оплати праці.

дипломна робота, доданий 22.12.2012


Сутність та принципи оплати праці в ринковій економіці. Сучасні форми та системи оплати праці. Аналіз оплати праці ТОВ "Сігма" м. Кострома. Аналіз системи оплати праці працівників. Удосконалення системи оплати праці досліджуваному підприємстві.

дипломна робота, доданий 11.04.2012

Вся матеріальна мотивація ґрунтується на матеріальній винагороді людини за її працю. Вона може здійснюватися у формі виплати заробітної плати, а також у вигляді соціальних програм, передбачених російським законодавством та правилами, прийнятими в цій організації.

Заробітна плата є провідною формою матеріальної мотивації персоналу. Вона виражає у грошовому еквіваленті ті зусилля та час, які людина витрачає у процесі праці.

Заробітна плата – це базовий фактор, що стимулює необхідність трудової діяльності для більшості людей.

Але сам факт її отримання не завжди забезпечує сумлінну та продуктивну працю. Тому, якщо говорити про заробітну плату як про фактор, що посилює мотивацію працівників, необхідно встановити залежність її розміру від кінцевого результату праці. У цьому випадку працівники, які відповідально виконують свої обов'язки іщо показують високі трудові показники, отримуватимуть більшу оплату, ніж решта. Це приносить задоволення результатами своєї праці «передовикам» і служить стимулом для кращої роботи всього колективу.

Для того щоб зрозуміти, як практично можна реалізувати це завдання, спочатку розберемо основи побудови системи оплати праці у створенні.

Оплата праці працівників організації будується з урахуванням законодавства РФ і регулюється державою. Державне регулювання поширюється встановлення мінімального розміру заробітної плати, оподаткування коштів, виділених організацією на оплату праці, встановлення державних гарантій оплати труда.

Нормативи, що підтверджують перелічені раніше функції, містяться у ТК РФ і, як правило, фіксуються у трудових та колективних договорах, які укладає організація зі своїми найманими працівниками.

Дотримання законодавчих норм є базисом для побудови організацією системи оплати праці своїх працівників, але, крім законодавчих норм, має бути враховано ще низку чинників.

Форма оплати праці.Існують дві основні форми оплати праці: погодинна та відрядна. Погодинна оплата передбачає розрахунок заробітної плати, виходячи з вартості однієї години роботи або окладу за фактично відпрацьований час. Ця форма заробітної плати застосовується при оплаті праці фахівців та керівників, тому що вони не виробляють конкретну продукцію, що враховується штуками, метрами та кілограмами. Їхня праця вимірюється витраченим на свою роботу часом.

Відрядна оплата праці залежить від кількості виробленої продукції ірозраховується виходячи з вартості одиниці вироблену продукцію. По відрядній оплаті оцінюється праця робочих, результати якого можна виміряти кількісно.

Охоплення працівників.Охоплення працівників має на увазі індивідуальну та колективну оплату праці. Індивідуальна оплата – це нарахування заробітної плати кожному конкретному працівникові. Колективна ж оплата нараховується за результатами роботи якоїсь групи і потім розподіляється всередині цієї групи за встановленими правилами.

Кошти оплати.Кошти оплати - грошова та натуральна складові. Як правило, заробітна плата виплачується у грошовій формі, але за домовленістю з працівником та відповідно до законодавства РФ можлива частина виплати у натуральній формі - товарами, цінними паперами чи послугами.

Тривалість розрахункового періоду.Тривалість розрахункового періоду – частота виплат. Оплата праці може бути щоденною, щотижневою, щомісячною.

Пророблення та аналіз перерахованих факторів дає можливість розробити та впровадити систему оплати, яка б відповідала цілям та завданням організації, а також її фінансовим можливостям. Але необхідно просто створити систему оплати праці персоналу, а зробити те щоб вона стала трудовим стимулом.

Для цього при розробці необхідно дотримуватись правил, які забезпечують підвищення ефективності праці працівників:

■ система оплати повинна орієнтувати працівника на досягнення потрібного підприємству результату, тому розмір заробітної плати пов'язується з показниками ефективності роботи всієї організації (прибуток, обсяг продажу, виконання плану);

■ система оплати має бути засобом управління персоналом, для цього керівнику необхідно мати можливість як матеріального заохочення, так і покарання;

■ система оплати праці повинна відповідати очікуванням співробітників та бути порівнянною з умовами, що існують в інших організаціях.

Як ми вже говорили, система оплати на кожному підприємстві має свої особливості, що відображають вимоги виробництва, вид діяльності та прийняту кадрову політику.

Однак останнім часом багато організацій приходять до використання схеми оплати праці, яка передбачає поділ виплат персоналу на три частини.

Перша частина- Це базовий оклад. Він виплачується виконання посадових обов'язків і залишається постійним (крім відрядної форми оплати праці). Оклад отримують усі співробітники організації.

Друга частина- це пільгові виплати та компенсації – соцпакет, який надає організація своїм працівникам. Сюди належить оплата відпусток, лікарняних листів, харчування, навчання співробітників, страхування життя та здоров'я, а також щорічна компенсація інфляції. Компенсаційна частина оплати праці є індивідуальною і залежить від кількості років, яку пропрацював співробітник, та наявності додаткових соціальних програм, прийнятих в організації. Компенсаційну частину також отримують усі співробітники.

Третя частина- це доплати, які робить організація за трудові здобутки у попередній період. Доплати можуть проводитися у вигляді премій, відсотків від реалізації продукції, додаткових виплат до відпустки, а також надбавок та коефіцієнтів за складність та якість виконуваної роботи. Ця частина виплат є змінною. Вона різна всім співробітників і від індивідуальних показників праці. Цю частину отримують не всі працівники, а лише ті, хто досяг певних результатів у своїй роботі.

Представлена ​​система оплати праці включає всі закріплені законодавством види виплат персоналу і дає можливість стимулювати ефективність роботи співробітників за рахунок додаткових надбавок за якісну і продуктивну працю.

Слід зазначити, що, створюючи систему оплати праці, керівнику організації та кадрової службі слід пам'ятати, що значення грошової винагороди для працівника не обмежується лише компенсацією витрати сил, що він витрачає у виконанні своєї роботи. Грошова винагорода, форми її отримання та розміри сприймаються як свідчення його цінності для організації, формують самооцінку, говорять про соціальний статус. Таким чином, гроші, які отримують працівник, виступають показником особистісної та професійної самореалізації.

Бібліографічний опис:

Нестеров А.К. Мотивація праці персоналу в організації [ Електронний ресурс] // Освітня енциклопедія сайт

Управління мотивацією до праці – ключовий чинник у системі управління персоналом організації, оскільки є пряма залежність між мотивацією співробітника та ефективністю його праці.

Поняття та сутність мотивації праці

Мотивація– це процес створення стимулів задля досягнення поставленої мети. У процесі мотивації беруть участь потреби та мотиви. Потреби – це внутрішнє спонукання до дії. Процес мотивації завершується виробленням мотиву, крім потреб у цьому беруть участь також ціннісні орієнтації, переконання і погляди. Це прихований процес, він не спостерігається і його не можна визначити емпіричним шляхом.

Можна бачити лише результат мотивації – поведінка людини.

Від ефективної мотивації залежить як підвищення соціальної та творчої активності конкретного працівника, а й кінцеві результати діяльності підприємства.

Кожна з існуючих теорій мотивації виходить із результатів теоретичних і прикладних певних аспектів, закладаючи в основу своєї концепції, водночас єдиного підходу до визначення поняття мотивації не вироблено.

Підходи до визначення поняття трудової мотивації

У рамках цієї статті ми будемо використовувати наступну тезу, що характеризує сутність мотивації праці.

Мотивація праці персоналу– це сукупність внутрішніх та зовнішніх рушійних сил, які спонукають людину до здійснення усвідомленої діяльності.

Як елемент системи управління мотивація персоналу спрямовано спонукання людей найефективніше виконувати своєї роботи у межах своїх правий і обов'язків. У цьому плані мотивація безпосередньо впливає на навички співробітника не принесуть результату, якщо він не зацікавлений у ньому. В управлінні організацією для мотивації персоналу використовується комплекс внутрішніх та зовнішніх факторів.

Окремо дані фактори є малозначущими для людини та в сучасних умовахїх вплив негаразд сильно, але за комплексному впливі вони багаторазово посилюють одне одного, створюючи мультиплікативний ефект.

Теорії мотивації персоналу

У таблиці наведено змістовні та процесуальні теорії мотивації, у яких сформовано комплекси мотивів та стимулів, що виступають елементами мотивації праці персоналу в організації.

Змістовні та процесуальні теорії мотивації

1. Теорія потреб А. Маслоу
Потреби
1.1. Фізіологічні потреби	- Якісна їжа; - чиста вода; - Хороші житлові умови; - Сприятливі умови відпочинку.	- Справедлива зарплата; - позички на житло; – санаторні путівки; - соціальний пакет.
1.2. Потреби безпеки	– захист від фізичних та моральних небезпек з боку довкілля; - Упевненість у тому, що фізіологічні потреби будуть задоволені.	– добрий морально-психологічний клімат у колективі; – демократичний стиль управління; - Страхування від хвороб; – допомога в екстремальних ситуаціях
1.3. Соціальні потреби	- Спілкування; - Наслідування; - Причетність; - Солідарність, підтримка, дружба, взаємовиручка.	- Можливість спілкуватися; – демократичний стиль керівництва; - рівні можливості, "рівність шансів"; - дошка пошани; - Винесення подяк; - Визнання заслуг; – справедливість у всьому (у розподілі робіт, оцінках, винагородах); - Програми культурно-оздоровчих заходів.
1.4. Потреби у визнанні та повазі	– самоповагу; - особисті досягнення; - Компетентність; - Повага з боку оточуючих; - Визнання.	- Достойна зарплатня; - Розширення повноважень; – персональні блага; - Зростання числа підлеглих; – загальне визнання та повагу.
1.5. Потреби самовираження	-Реалізація потенційних можливостей; - Зростання особистості; - Покликання; - Самовираження; - допитливість; – творчість; - Винахідництво; - Раціоналізаторство; - Заняття наукою.	- участь в управлінні та прийнятті рішень; - Участь у проектних групах; - широкі можливості для навчання та підвищення кваліфікації; – активне зростання кар'єри; – надання роботи за інтересами, за покликанням; - Професійна орієнтація; - Підвищення творчого характеру праці; - Облік особистих якостей та здібностей працівника; – премії за новаторство, винаходи, відкриття; - Висунення на державні та міжнародні премії.
2. Теорія існування, зв'язку та зростання К. Альдерфера
Потреби
2.1. Потреби існування: фізіологічні, забезпечення безпеки, оплата праці	- їжа, вода, житло, відпочинок; - Захист від фізичних небезпек; – впевненість у тому, що фізіологічні потреби будуть задоволені.	- Достатній рівень зарплати; - Оплата житла; - соціальний пакет; - Система пенсійного забезпечення; - Страхування від хвороб.
2.2. Потреби зв'язку: встановлення контактів, повага, оцінка особистості	- Спілкування; - Причетність; - Підтримка, дружба, взаємовиручка.	- Можливість спілкуватися; – сприятливий психологічний клімат у колективі; - рівні можливості; - Винесення подяк; - Визнання заслуг.
2.3. Потреби зростання: розвиток творчого потенціалу, самореалізація	- Повага, визнання; - Реалізація потенційних можливостей; - Зростання особистості; - Самовираження, творчість.	– загальне визнання та повагу; - Право реалізувати свої пропозиції; - Можливості навчання та підвищення кваліфікації; – премії за винаходи.
3. Теорія набутих потреб Д. МакКлелланда
Потреби
3.1. Потреба влади	- бажання впливати на інших людей, відчувати себе корисним та значущим	- участь в управлінні та прийнятті рішень; - Розширення повноважень; - Зростання числа підлеглих.
3.2. Потреба успіху	- Участь у перспективних роботах; - досягнення мети; - Престиж; - Розвиток кар'єри.	Надання ініціативи, широких повноважень; Заохочення за результати; Участь у успіху; Міжнародне зізнання; Присвоєння звання "Найкращий співробітник року".
3.3. Потреба причетності	- Спілкування; - Наслідування; - Причетність; - Солідарність, підтримка, дружба.	- Можливість спілкуватися; – сприятливий соціальний мікроклімат; - участь в управлінні та прийнятті рішень; - Проведення нарад; - Надання допомоги іншим; - Ділові контакти.
4. Теорія двох факторів Ф. Герцберга
Потреби
4.1. Гігієнічні	- підвищення по службі; – визнання та схвалення результатів роботи; - Високий ступінь відповідальності; – можливості творчого та ділового зростання.	- Гарний морально-психологічний клімат; – нормальні умови роботи; - Справедлива зарплата; - Доброзичлива атмосфера; - Помірний контроль за роботою.
4.2. Мотивації		– надання ініціативи, широких повноважень; - Заохочення за результати; - Участь в успіху; - Планування кар'єри; - Справедлива винагорода; - Надання високого ступеня відповідальності; - Навчання та підвищення кваліфікації.
Процесуальні теорії мотивації
5. Теорія очікувань В. Врума
Потреби
5.1. Витрати – результати	- значимість завдання; - Виконання завдання; - Проведення необхідних консультацій.	- Оцінка результатів
5.2. Результати винагороди	– визначеність та своєчасність винагороди.	- Довіра до керівника; - Ефективність роботи підприємства.
5.3. Валентність	- Винагорода за досягнуту результативність праці.	- Гарантія винагороди; - Точна відповідність винагороди результатам роботи.
6. Теорія справедливості С. Адамса
Потреби
	- Відповідність винагороди середньому значенню винагороди інших фахівців за аналогічну роботу.	Застосування компенсаційної оплати праці за "ринковою ціною" працівника.
7. Концепція партисипативного управління
Потреби
	– усвідомлення важливості та значущості своєї праці для розвитку підприємства	- участь в управлінні та прийнятті рішень; - участь у проектах; - Самоконтроль; – особиста та групова відповідальність за результати.

Джерело: Віханський, О. С. Менеджмент: підручник / О. С. Віханський, А. І. Наумов. - 5-те вид., Стереотип. - М.: Магістр: ІНФРА-М, 2012.

Побудова системи мотивації згідно з змістовними теоріями мотивації заснована на виявленні та задоволенні домінуючих потреб працівників, а процесуальні теорії мотивації ключову роль відводять формуванню мотиваційної поведінки працівників.

Методи мотивації праці персоналу у створенні

У методи мотивації праці видаються як управлінські регулюючі дії трьох типів: пасивні, непрямі та активні.

• Пасивні впливу впливають на працівників, а спрямовані створення умов праці та включають розробку норм, правил, регламентів, що стосуються праці персоналу.
• Непрямі впливу впливають співробітників організації опосередковано і реалізуються як комплексних програм преміювання, стимулювання, вкладених у колектив підприємства у цілому.
• Активні впливи передбачають безпосередній вплив на конкретних співробітників чи групи працівників.

Методи мотивації представлені на схемі

Методи мотивації праці персоналу

Економічні методи мотивації ґрунтуються на одержанні певної вигоди співробітниками, що підвищує їх добробут.

Прямі форми економічних методів:

• основна оплата праці;
• додаткові виплати з урахуванням складності праці та кваліфікації, наднормативної роботи тощо;
• винагороду у вигляді премій та виплат залежно від вкладу працівника у результати виробничої діяльності підприємства;
• інші види виплат.

Непрямі форми економічних методів:

• надання у користування службового автомобіля;
• користування соціальними установами організації;
• придбання продукції організації за ціною, нижчою за відпускну;
• надання різноманітних пільг.

Організаційні методи:

1. Мотивація цікавими цілями щодо основної роботи співробітників;
2. Мотивація збагачення змістовного наповнення трудової діяльності;
3. Мотивація участю у справах організації.

Морально-психологічні методи:

1. Гордість за доручену та виконану роботу;
2. відповідальність за результати роботи;
3. Виклик, можливість показати свої здібності;
4. Визнання авторства результату зробленої роботи чи проекту;
5. Висока оцінка може бути особистою або публічною.

Вимоги до методів мотивації праці персоналу організації

Напрями вдосконалення та підвищення ефективності мотивації праці персоналу в організації

Система мотивації працівників- Це гнучкий інструмент управління персоналом, орієнтований на досягнення цілей компанії за допомогою адміністративних, економічних та соціально-психологічних методів.

Підприємствам необхідна побудова ефективної системи управління трудовими ресурсами, яка б забезпечувала активізацію людського фактора, для цього в організаціях використовуються методи мотивації праці персоналу, щоб зорієнтувати людей на максимально ефективне вирішення поставлених завдань. Мотивація праці спрямовано підвищення продуктивність праці, підвищення прибутку організації, що у результаті веде до досягнення стратегічних цілей організації.

Основною проблемою є питання створення ефективної та дієвої системи мотивації праці персоналу в організації. Оскільки кожен керівник прагне того, щоб співробітник не втрачав інтерес до роботи, в організаціях розробляються спеціальні заходи, і будується система мотивації, щоб підтримувати інтерес співробітників до роботи.

У проведеному раніше дослідженні встановлено, що існує стійка взаємозв'язок між, вона виражається через види мотивації та факторами, що впливають на інтерес до роботи.

Неефективна система мотивації веде до зниження продуктивності праці, отже очевидна важливість раціонального застосування дієвих методів стимулювання праці.

Взаємозалежність мотивації працівників та результатів економічної діяльності організації є основою підприємства.

Завдання будь-якого керівника – організувати процес роботи так, щоб люди працювали ефективно. Продуктивність та клімат взаємовідносин на підприємстві безпосередньо залежать від того, наскільки співробітники згодні зі своїм становищем на фірмі та існуючою системоюзаохочення. Що, у свою чергу, впливає зниження жорсткої формалізації внутрішньофірмових відносин, спрямованої на їх перетворення в контексті об'єктивної дійсності в умовах підприємства.

Типовим напрямом вдосконалення системи мотивації праці персоналу організації виступає розширення форм і видом стимулювання. Наприклад, якщо в системі мотивації підприємства найбільше виражено матеріальне стимулювання або нематеріальні види стимулювання практично відсутні, необхідно використовувати більше видів моральних заохочень співробітників, наприклад:

1. Приміщення різних записів про досягнення працівника у його особисту справу.
2. Усна подяка від імені керівництва фірми.
3. Додаткове навчання з допомогою організації.
4. Сплачене запрошення на обід у ресторані, яке компанія виділяє співробітнику.
5. Гнучкий графік робочого дня.
6. Надання автостоянки для паркування автомобіля та безкоштовного бензину.
7. Більше висока якістьоснащення робочого місця, а також придбання нового обладнання для найкращих працівників за підсумками року.
8. Приміщення фотографії в стінгазету.
9. Сувенір зі спеціальною позначкою "Найкращий працівник".
10. Розміщення вдячних відгуків клієнтів таким чином, щоб усі могли їх бачити.
11. Передплата періодичних спеціалізованих видань.

Для підвищення мотивації працівників слід створити умови для самовираження співробітників, надати їм певну ініціативу у прийнятті рішень та створити умови для того, що співробітники мали можливість впливати на процеси, що відбуваються в компанії. І тому директору можна делегувати частину своїх повноважень безпосередньо начальникам підрозділів компанії.

Корисним буде використання керівником якихось знаменних подій у особистому житті підлеглих (дні народження, весілля тощо), щоб виявити до них увагу, вітати їх усіх колективом. З боку співробітників також можливі такі дії.

Також підвищення залученості співробітників у справи компанії необхідно запровадити систему дій, що позначаються терміном " політика відкритих дверей " . Це означає готовність керівника будь-якого рангу вислуховувати пропозиції своїх підлеглих. Девіз такої політики: "Двері мого кабінету завжди для вас відчинені". Проте постає питання, як це співвідноситься з ресурсом часу керівника. Справді, а раптом підлеглі вирішать, що до кабінету шефа можна входити завжди, коли заманеться. Насправді якщо співробітники зайняті справою, вони відвідують кабінет керівника набагато рідше, ніж цього можна очікувати. Крім того, можна використовувати деякі прийоми, що дозволяють упорядкувати такі контакти:

• Керівник може сам встановити час зустрічі, не відмовляючи співробітнику в аудієнції, а переносячи її на зручний йому час.
• Використання письмових форм викладу інформації також сприяє скороченню спілкування з підлеглими. Викладу ідей у ​​письмовій формі властива лаконічність та визначеність.
• Оцінка та заохочення конкретних ділових пропозицій. Іноді співробітники при подачі ідеї супроводжують її великою кількістю супутньої інформації, хоча потрібно лише викласти суть.

Підвищення мотивації співробітників за допомогою методів морального стимулювання та впровадження політики "відкритих дверей" на всіх рівнях управління дозволить значно збільшити участь працівників організації у діяльності організації загалом, а також у прийнятих керівниками рішеннях. Це сприятиме оптимізації внутрішньофірмових відносин за рахунок суб'єктивно-об'єктивних методів досягнення збалансованості у формальних та неформальних відносинах, що існують в організації. Також це дозволить підвищити якість інформації, доступної керівництву та необхідної для прийняття рішень. Моральне стимулювання також допоможе співробітникам у усвідомленні причетності до цілей та цінностей організації.

p align="justify"> Перспективним напрямом підвищення ефективності системи мотивації персоналу є впровадження програми адаптації персоналу. Навіть якщо окремої служби з управління адаптацією персоналу на підприємстві немає, роботу з адаптації нового працівника може виконувати співробітник відділу кадрів.

Програма адаптації є набір конкретних дій, які необхідно зробити співробітнику, відповідальному адаптацію. Програму адаптації поділяють на загальну та спеціальну. Загальна програмаадаптації стосується загалом всієї організації, й у неї входять такі питання, як загальне уявлення про компанії, політика організації, оплата праці, додаткові пільги, охорона праці та дотримання техніки безпеки, умови роботи співробітника організації, служба побуту, економічні чинники.

Спеціальна програма адаптації охоплює питання, пов'язані безпосередньо з будь-яким підрозділом чи робочим місцем і здійснюється у формах спеціальних розмов із співробітниками того підрозділу, куди прийшов новачок, і співбесід з керівником (безпосереднім і вищестоящим). Але організація цих розмов покладається на співробітника відділу кадрів. Основними питаннями, які необхідно висвітлити у процесі спеціальної програми адаптації є: функції підрозділу, робочі обов'язки та відповідальність, необхідна звітність, процедури, правила, розпорядження та подання співробітників підрозділу.

Заробітна плата - найважливіша частина системи оплати та стимулювання праці, один із інструментів впливу на ефективність праці працівника. Це вершина системи стимулювання персоналу підприємства, але за всієї значимості вести у більшості успішних зарубіжних фірм вбирається у 70% доходу працівника, інші 30% доходу беруть участь у розподілі прибыли.

Для того, щоб заробітна плата виконувала свою мотивуючу функцію, має існувати прямий зв'язок між її рівнем та кваліфікацією працівника, складністю виконуваної роботи, ступенем відповідальності.

Під системою оплати праці розуміють спосіб обчислення розмірів винагороди, що підлягає виплаті працівникам підприємства відповідно до вироблених ними витрат праці або за результатами праці.

Існує дві системи організації оплати праці: тарифна та безтарифна. Тарифна система дозволяє порівнювати різноманітні конкретні види праці, враховуючи їх складність та умови виконання, тобто враховувати якість праці. Вона є найпоширенішою на вітчизняних підприємствах.

Найбільшого поширення на підприємствах різних форм власності набули дві форми тарифної системи оплати праці:

Відрядна – за кожну одиницю продукції або виконаний обсяг робіт;

Погодинна – за нормативний відпрацьований час, який передбачається тарифною системою.

На кожному конкретному підприємстві в залежності від характеру продукції, що випускається, наявності тих чи інших технологічних процесів, рівня організації виробництва та праці застосовується та чи інша форма заробітної плати

В умовах оплати праці за тарифами та окладами досить складно позбутися зрівнялівки, подолати протиріччя між інтересами окремого працівника та всього колективу.

Як можливий варіант удосконалення організації та стимулювання праці використовують безтарифну систему оплати праці , яка знайшла застосування на багатьох підприємствах в умовах початку ринкових умов господарювання. За цією системою заробітна плата всіх працівників підприємства від директора до робітника є частка працівника у фонді оплати праці (ФОП) або всього підприємства або окремого підрозділу. У умовах фактична величина заробітної плати кожного працівника залежить від низки факторов:

Кваліфікаційний рівень працівника;

Коефіцієнти трудової участі (КТУ);

Практично відпрацьованого часу.

Кваліфікаційний рівень працівника підприємства встановлюється всім членам колективу.

Усі працівники підприємства розподіляються за десятьма кваліфікаційними групами, виходячи з кваліфікаційного рівня працівників та кваліфікаційних вимог до працівників різних професій. Для кожної із груп встановлюється свій кваліфікаційний рівень, який може підвищуватися протягом усієї його трудової діяльності. Система кваліфікаційних рівнів створює більші можливості для матеріального стимулювання більш кваліфікованої праці, ніж система тарифних розрядів.

КТУ виставляється всім працівникам підприємства, включаючи директора, та затверджується радою трудового колективу, яка сама вирішує періодичність її визначення (раз на місяць, у квартал тощо) та склад показників для його розрахунку.

Різновидом безтарифної системи є контрактна система оплати праці,спрямована на залучення та утримання на підприємствах висококваліфікованих кадрів, в основному керівників та фахівців, на формування команди професіоналів, які вміють досягати все більш високі цілі в жорстких умовах конкуренції. , правничий та обов'язки сторін, рівень оплати праці та інших. Порівняно з діючою нашій економіці тарифної системою оплати праці її погодинної і відрядної формах контрактна система має дві безсумнівних переваги. По-перше, працю працівників можна оплачувати у значно більшому розмірі, ніж це передбачено окладами, тарифними ставками та розцінками у рамках існуючої державної системи оплати. По-друге, контрактна система дозволяє легко і просто позбутися недбайливого працівника шляхом розірвання контракту, не вступаючи при цьому у суперечність із Кодексом законів про працю, не погоджуючи це звільнення з профспілкою. Ці переваги роблять контрактну систему надзвичайно привабливою для тих підприємств, де дійсно бажають досягти різкого підвищення ефективності виробництва.

Підпишіться на новини

2019

McAfee: 19 передових практик у сфері хмарної безпеки у 2019 році

Найбільше занепокоєння у компаній викликає захист зовнішніх хмарних послуг. Так, респонденти переживають, що інциденти можуть статися у постачальників, на аутсорсинг яким передані бізнес-процеси, у сторонніх хмарних сервісів або в ІТ-інфраструктурі, де компанія орендує обчислювальні потужності. Однак, незважаючи на все це занепокоєння, перевірки дотримання вимог до забезпечення безпеки третіх сторін проводять лише 15% компаній.

«Незважаючи на те, що останні масштабні зломи відбувалися всередині ЦОД, традиційні системи безпеки, як і раніше, фокусуються лише на захисті мережевого периметра та контролі прав доступу. При цьому рідко враховується негативний вплив рішень на захист фізичної інфраструктури на продуктивність віртуальних середовищ, - пояснив Веніамін Левцов, віце-президент з корпоративних продажів та розвитку бізнесу «Лабораторії Касперського». - Тому у конвергентних середовищах так важливо використовувати відповідний комплексний захист, забезпечуючи безпеку віртуальних систем спеціально призначеними рішеннями. Ми реалізуємо підхід, за якого незалежно від типу інфраструктури для всіх систем забезпечується єдине за рівнем захищеності покриття всієї корпоративної мережі. І в цьому наші технології та сучасні розробки VMware (як, наприклад, мікросегментація) чудово доповнюють один одного».

2015: Forrester: Чому замовники незадоволені хмарами постачальників?

Непрозора хмара

Опубліковане нещодавно дослідження Forrester Consulting показує: багато організацій вважають, що постачальники хмарних послуг надають їм недостатньо інформації про взаємодію з хмарою, і це шкодить їхньому бізнесу.

Крім недостатньої прозорості, є й інші чинники, що зменшують інтерес переходу в хмару: це рівень сервісу для замовників, додаткові витрати та адаптація під час міграції (on-boarding). Організації дуже люблять хмару, але не її постачальників - принаймні, не так само сильно.

Дослідження було замовлено компанією iland, постачальником корпоративного хмарного хостингу, проводилося протягом травня та охоплювало професіоналів у галузі інфраструктури та поточного супроводу з 275 організацій у , та Сінгапурі.

«Серед усіх складнощів сьогоднішньої хмари криються і прикрі вади, - пише Лайлак Шонбек (Lilac Schoenbeck), віце-президент із супроводу та маркетингу продукту iland. - Такі важливі метадані не повідомляються, істотно гальмуючи прийняття хмари, і все ж таки організації будують плани зростання виходячи з допущення безмежності хмарних ресурсів».

Де ж ключ до досягнення гармонії ділових відносин? Ось що потрібно знати VAR'ам, щоб постаратися залагодити проблеми та привести сторони до примирення.

Неувага до клієнтів

Зважаючи на все, багато користувачів хмари не відчувають цей індивідуальний підхід.

Так, 44% респондентів відповіли, що їхній провайдер не знає їхню компанію і не розуміє їхніх ділових потреб, а 43% вважають, що якби їхня організація просто була більшою, то, напевно, постачальник приділяв би їм більше уваги. Коротше кажучи, вони відчувають холод рядової угоди, купуючи хмарні послуги, і це їм не подобається.

І ще: є одна практика, на яку вказала третина опитаних компаній, що також вселяє відчуття дріб'язковості в угоді, - з них стягують плату за найменше запитання чи незрозумілість.

Занадто багато секретів

Небажання постачальника надавати всю інформацію не тільки дратує замовників, але й часто коштує їм грошей.

Усі респонденти, які взяли участь в опитуванні Forrester, відповіли, що відчувають певні фінансові наслідки та вплив на поточну роботу через відсутні або закриті дані про використання хмари.

«Відсутність ясних даних про параметри використання хмари призводить до проблем продуктивності, утруднень звітності перед керівництвом про реальну вартість використання, оплату за ресурси, так і не спожиті користувачами, та непередбачені рахунки», - констатує Forrester.

А де метадані?

ІТ-керівники, відповідальні за хмарну інфраструктуру у своїх організаціях, хочуть мати метрику вартості та робочих параметрів, що забезпечує ясність та прозорість, але, очевидно, їм важко донести це до постачальників.

Учасники опитування зазначили, що метадані, що отримуються ними, про хмарні робочі навантаження зазвичай бувають неповними. Майже половина компаній відповіла, що дані про дотримання регулятивних норм відсутні, 44% вказали на відсутність даних про параметри використання, 43% – ретроспективних даних, 39% – даних з безпеки, та 33% – даних білінгу та вартості.

Питання прозорості

Відсутність метаданих викликає всілякі проблеми, кажуть респонденти. Майже дві третини опитаних повідомили, що недостатня прозорість не дозволяє їм повністю зрозуміти всі переваги хмари.

«Відсутність прозорості породжує різні проблеми, і насамперед це питання про параметри використання та перебої у роботі», - йдеться у звіті.

Приблизно 40% намагаються усунути ці прогалини самі, закуповуючи додатковий інструментарій у своїх постачальників хмари, а інші 40% просто закуповують послуги іншого постачальника, де така прозорість є.

Дотримання регулятивних норм

Як не крути, організації несуть відповідальність за всі свої дані, чи то на локальних СГД, чи то відправлені в хмару.

Більше 70% респондентів у дослідженні відповіли, що в їхніх організаціях регулярно проводиться аудит, і вони повинні підтвердити відповідність існуючим нормам, де б не знаходились їхні дані. І це ставить перешкоду на шляху прийняття хмар майже для половини опитаних компаній.

«Але аспект дотримання вами регулятивних норм має бути прозорим для ваших кінцевих користувачів. Коли постачальники хмари притримують або не розкривають цю інформацію, вони не дозволяють вам цього досягти», - сказано у звіті.

Проблеми відповідності

Понад 60% опитаних компаній відповіли, що проблеми дотримання регулятивних вимог обмежують подальше хмару.

Головні проблеми такі:

• 55% компаній, пов'язаних такими вимогами, відповіли, що найважче для них реалізувати належні засоби контролю.
• Приблизно половина каже, що їм важко зрозуміти рівень відповідності вимогам, що їх постачальник хмари.
• Ще половина респондентів відповіла, що їм важко отримати потрібну документацію від провайдера про дотримання цих вимог, щоб пройти аудит. І 42% важко отримати документацію про дотримання ними самими вимог щодо робочих навантажень, запущених у хмарі.

Проблеми міграції

Схоже, що процес переходу (on-boarding) - ще одна область загальної незадоволеності: трохи більше половини опитаних компаній відповіли, що їх не задовольняють процеси міграції та підтримки, які запропонували постачальники хмари.

З 51% незадоволених процесом міграції 26% відповіли, що це зайняло надто багато часу, і 21% поскаржилися на відсутність живої участі персоналу провайдера.

Більше половини були також задоволені процесом підтримки: 22% вказали на довге очікування відповіді, 20% - недостатні знання персоналу підтримки, 19% - на процес вирішення проблем, що затягнувся, і 18% отримали рахунки з вищою, ніж очікувалося, вартістю підтримки.

Перешкоди на шляху до хмари

Багато компаній, опитаних фірмою Forrester, змушені стримувати свої плани розширення у хмарі через проблеми, які вони відчувають із вже наявними послугами.

Щонайменше 60% відповіли, що відсутність прозорості у використанні, інформації відповідності регулятивним нормам та надійної підтримки утримує їх від ширшого використання хмари. Якби не ці проблеми, вони б перенесли більше робочих навантажень у хмару, кажуть респонденти.

2014

• Роль ІТ-підрозділів поступово змінюється: перед ними постає завдання пристосуватися до нових реалій хмарних ІТ. ІТ-підрозділи повинні розповідати співробітникам про проблеми безпеки, розробляти комплексні політики з управління даними та дотримання законодавчих вимог, розробляти рекомендації щодо впровадження хмарних сервісів та встановлювати правила щодо того, які дані можна зберігати у хмарі, а які – ні.
• ІТ-підрозділи здатні виконати поставлену перед ними місію захисту корпоративних даних і одночасно виступати в ролі інструменту в реалізації "Тіньових ІТ", реалізуючи заходи щодо забезпечення безпеки даних, наприклад, впроваджуючи підхід `encryption-as-a-service` ("шифрування в вигляді сервісу"). Подібний підхід дозволяє ІТ-відділам централізовано керувати захистом даних у хмарі, забезпечуючи іншим підрозділам компанії можливість самостійно знаходити та користуватися хмарними сервісами за потребою.
• У міру того, як все більше компаній зберігають свої дані в хмарі, а їхні співробітники все активніше користуються хмарними сервісами, ІТ-підрозділам необхідно приділяти більше уваги реалізації більш ефективних механізмів для контролю за доступом користувача, таких як багатофакторна автентифікація. Це особливо актуально для компаній, які забезпечують третім особам та постачальникам доступ до своїх даних у хмарі. Рішення багатофакторної автентифікації можуть керуватися централізовано та забезпечувати більш захищений доступ до всіх додатків та даних, де б вони не розміщувалися – у хмарі, або на власному устаткуванні компанії.

Дані Ponemon та SafeNet

Більшість ІТ-організацій перебувають у невіданні щодо того, яким чином здійснюється захист корпоративних даних у хмарі – в результаті компанії наражають на ризики облікові записиі конфіденційну інформаціюсвоїх користувачів. Такий лише один із висновків недавнього дослідження осені 2014 року, проведеного інститутом Ponemon на замовлення SafeNet. В рамках дослідження, під назвою "Проблеми управління інформацією у хмарі: глобальне дослідження безпеки даних", у всьому світі було опитано понад 1800 фахівців з інформаційних технологій та ІТ-безпеки.

Серед інших висновків дослідження показало, що хоча організації все активніше використовують можливості хмарних обчислень, ІТ-підрозділи корпорацій стикаються з проблемами при керуванні даними та забезпеченні їх безпеки в хмарі. Опитування показало, що лише у 38% організацій чітко визначено ролі та відповідальності за забезпечення захисту конфіденційної та іншої чутливої ​​інформації у хмарі. Погіршує ситуацію те, що 44% корпоративних даних, що зберігаються в хмарному оточенні, непідконтрольні ІТ-підрозділам і не керуються ними. До того ж понад дві третини (71%) респондентів зазначили, що стикаються з новими складнощами при використанні традиційних механізмів та методик забезпечення безпеки для захисту конфіденційних даних у хмарі.

Зі зростанням популярності хмарних інфраструктур підвищуються і ризики витоків конфіденційних даних Близько двох третин опитаних ІТ-фахівців (71%) підтвердили, що хмарні обчислення сьогодні мають велике значення для корпорацій, і понад дві третини (78%) вважають, що актуальність хмарних обчислень збережеться і через два роки. Крім того, за оцінками респондентів близько 33% усіх потреб їх організацій інформаційних технологійта інфраструктуру обробки даних сьогодні можна задовольнити за допомогою хмарних ресурсів, а протягом наступних двох років ця частка збільшиться в середньому до 41%.

Однак більшість опитаних (70%) погоджуються, що дотримуватися вимог щодо збереження конфіденційності даних та їх захисту у хмарному оточенні стає все складніше. Крім того, респонденти відзначають, що ризику витоків найбільше схильні до таких видів корпоративних даних, що зберігаються в хмарі, як адреси електронної пошти, дані про споживачів та замовників та платіжна інформація.

В середньому, впровадження більш ніж половини всіх хмарних сервісів на підприємствах здійснюється силами сторонніх департаментів, а не корпоративними ІТ-відділами, і в середньому близько 44% корпоративних даних, розміщених у хмарі, не контролюється та не управляється ІТ-підрозділами. В результаті цього, тільки 19% опитаних могли заявити про свою впевненість у тому, що знають про всі хмарні програми, платформи або інфраструктурні сервіси, що використовуються в теперішній моменту їхніх організаціях.

Поряд з відсутністю контролю за встановленням та використанням хмарних сервісів, серед опитаних не було єдиної думки щодо того, хто ж насправді відповідає за безпеку даних, що зберігаються у хмарі. Тридцять п'ять відсотків респондентів заявили, що відповідальність розділяється між користувачами та постачальниками хмарних сервісів, 33% вважають, що відповідальність повністю лежить на користувачах, і 32% вважають, що за збереження даних відповідає постачальник хмарних обчислень.

Понад дві третини (71%) респондентів зазначили, що захищати конфіденційні дані користувачів, що зберігаються у хмарі, за допомогою традиційних засобів і методів забезпечення безпеки стає все складніше, і близько половини (48%) відзначають, що їм стає все складніше контролювати або обмежувати кінцевих користувачів доступ до хмарних даних. У результаті більше третини (34%) опитаних ІТ-фахівців заявили, що в їх організаціях вже впроваджено корпоративні політики, які вимагають обов'язкової умови для роботи з певними сервісами хмарних обчислень застосування таких механізмів забезпечення безпеки як шифрування. Сімдесят один (71) відсоток опитаних відзначили, що можливість шифрування або токенізації конфіденційних або інших чутливих даних має для них велике значення, і 79% вважають, що значущість цих технологій протягом найближчих двох років підвищуватиметься.

Відповідаючи на питання, що саме робиться в їхніх компаніях для захисту даних у хмарі, 43% респондентів сказали, що в їхніх організаціях передачі даних використовуються приватні мережі. Приблизно дві п'яті (39%) респондентів сказали, що в їхніх компаніях для захисту даних у хмарі застосовується шифрування, токенізація та інші криптографічні засоби. Ще 33% опитаних не знають, які рішення для забезпечення безпеки впроваджено в їхніх організаціях, і 29% сказали, що використовують платні сервіси безпеки, які їх надають постачальники послуг хмарних обчислень.

Респонденти також вважають, що управління корпоративними ключами шифрування має важливе значення для забезпечення безпеки даних у хмарі, враховуючи зростаючу кількість платформ для керування ключами та шифрування, що використовуються в їхніх компаніях. Зокрема, 54% респондентів сказали, що їхні організації зберігають контроль за ключами шифрування при зберіганні даних у хмарі. Проте 45% опитаних сказали, що зберігають свої ключі шифрування у програмному виглядіТам же, де зберігаються і самі дані, і тільки 27% зберігають ключі в більш захищених оточеннях, наприклад, на апаратних пристроях.

Щодо доступу до даних, що зберігаються у хмарі, то шістдесят вісім (68) відсотків респондентів стверджують, що управляти обліковими записами користувачів в умовах хмарної інфраструктури стає складніше, при цьому шістдесят два (62) відсотки респондентів сказали, що їх в організаціях доступ до хмари передбачено і для третіх осіб. Приблизно половина (46 відсотків) опитаних сказали, що в їхніх компаніях використовується багатофакторна автентифікація для захисту доступу сторонніх осіб до даних, що зберігаються в оточенні хмар. Приблизно стільки ж (48 відсотків) респондентів сказали, що в їхніх компаніях застосовуються технології багатофакторної автентифікації, зокрема, для захисту доступу своїх співробітників до хмари.

2013: Дослідження Cloud Security Alliance

Cloud Security Alliance (CSA), некомерційна галузева організація, що просуває методи захисту у хмарі, нещодавно оновила свій список головних загроз у звіті, який має назву «Хмарне зло: 9 головних загроз у хмарних послугах у 2013 році».

CSA вказує, що звіт відображає узгоджену думку експертів про найбільш значні загрози безпеці у хмарі та приділяє основну увагу загрозам, що випливають із спільного використання загальних хмарних ресурсів та звернення до них безлічі користувачів на вимогу.

Отже, головні погрози…

Крадіжка даних

Крадіжка конфіденційної корпоративної інформації - завжди лякає організації за будь-якої ІТ-інфраструктури, але хмарна модель відкриває «нові, значні магістралі атак», зазначає CSA. "Якщо база даних хмари з множинною орендою не продумана належним чином, то вада в додатку одного клієнта може відкрити зломщикам доступ до даних не тільки цього клієнта, але і всіх інших користувачів хмари", - попереджає CSA.

Будь-яка «хмара» має кілька рівнів захисту, кожен з яких захищає інформацію від різного типу"замахів".

Приміром, фізичний захист сервера. Тут мова йде навіть не про зло, а про злодійство або псування носіїв інформації. Винести сервер із приміщення може бути важко у прямому значенні цього слова. Крім цього, будь-яка компанія, що поважає себе, зберігає інформацію в дата-центрах з охороною, відеоспостереженням і обмеженням доступу не тільки стороннім, але й більшості співробітників компанії. Отже, ймовірність того, що зловмисник просто прийде і забере інформацію, близька нулю.

Подібно до того, як досвідчений мандрівник, побоюючись пограбувань, не зберігає всі гроші та цінності в одному місці,

Коли Ерік Шміт, нині глава Google, уперше вжив термін "хмара" стосовно розподіленої обчислювальної веб-системи, він навряд чи здогадувався, що це одне з тих слів, які часто зустрічаються в легендах. Майже у всіх міфах народів світу божественні істоти мешкають дуже близько до неба - на хмарах. В результаті термін "хмарні обчислення" дуже сподобався маркетологам, оскільки дає простір для творчості. Спробуємо і ми вербалізувати ці міфи, і зрозуміти, наскільки вони органічно поєднуються з ІТ.

Смерть Мерліна

Одним із персонажів циклу легенд про короля Артура та його Круглого столу є маг і чарівник Мерлін, який допомагав Артуру в його правлінні. Показово, що скінчив Мерлін тим, що був ув'язнений у хмарах. Він, бажаючи похвалитися перед молодою чарівницею і показати свою магічну силу, збудував замок із хмар і запропонував своїй пасії його оглянути. Проте чарівниця виявилася хитра і ув'язнила мага у його власному хмарному замку. Після цього Мерліна вже ні хто не бачив, тому вважається, що він помер десь там - у збудованому ним самим хмарному замку.

Зараз "маги від ІТ" також побудували цілу міфологію навколо розподілених обчислень, тому щоб не бути заточеними в цих "замках" варто спочатку розібратися що ж являють собою ці хмари, тобто відокремити маркетинг від котлет.

Спочатку хмара була лише одна – саме цим символом традиційно позначали мережу Інтернет. Ця хмара означала сукупність всіх комп'ютерів, об'єднаних протоколом IP і мають власну IP-адресу. Згодом в Інтернеті почали виділяти серверні ферми, які встановлювалися у провайдерів і на яких базувалися веб-проекти. При цьому для забезпечення високого навантаження та стійкості до відмови найбільші веб-системи ставали багаторівневими і розподіленими.

У типовій такій системі можна було виділити такі рівні: зворотний проксі, що виконує роль балансувальника навантаження і дешифратора SSL, власне веб-сервер, далі сервер додатків, СУБД і систему зберігання. При цьому на кожному рівні могло бути кілька елементів, що виконують однакові функції, і тому не завжди було зрозуміло які саме компоненти використовуються для обробки запитів користувача. А коли незрозуміло, це і є хмари. Тому почали говорити, що запити користувача виконуються десь в "хмарі" з великої кількості серверів. Так і з'явився термін "хмарні обчислення".

Хоча спочатку хмарні обчислення були пов'язані із загальнодоступними веб-проектами - порталами, однак у міру розвитку розподілених відмовостійких веб-систем їх почали використовувати і для вирішення внутрішньокорпоративних завдань. Це був час буму на корпоративні портали, засновані на веб-технологіях, відпрацьованих у публічних системах. У той же час, корпоративні системи почали консолідуватися в центри обробки даних, які було простіше і дешевше обслуговувати.

Однак виділяти на кожен елемент хмари окремий сервер було б неефективно – не всі елементи хмари навантажені однаково, тому паралельно почала розвиватись індустрія віртуалізації. У публічних хмарах вона виявилася досить популярною, оскільки дозволила розмежовувати права доступу та забезпечувала швидке перенесення елемента розподіленої системи на інший апаратний носій. Без віртуалізації хмарні обчислення були б менш динамічними та масштабованими, тому зараз хмари, як правило, складаються з віртуальних машин.

Хмарні обчислення в основному пов'язують з орендою додатків, визначаючи три типи таких послуг: IaaS – інфраструктура як сервіс, PaaS – платформа як сервіс та SaaS – програмне забезпеченняяк сервіс. Іноді і послуги "безпека як сервіс" також скорочують до SaaS, однак, щоб не плутати послуги безпеки з орендою ПЗ краще називати її ISaaC - Information Security as a Cloud. Такі послуги починають надаватися. Однак не слід плутати аутсорсинг додатків та хмарні обчислення, оскільки хмари можуть бути внутрішньокорпоративними, публічними та гібридними. Кожен з цих типів хмар має свої особливості при організації системи захисту.

Три кроки Вішну

Бог Вішну в індуїстській міфології відомий тим, що саме він завоював простір для життя людей за допомогою трьох кроків: перший був зроблений на землі, другий – у хмарах, а третім – у вищій обителі. Відповідно до "Ріг-веди" саме цією дією Вішну відвоював всі ці простори для людей.

Сучасні ІТ також роблять аналогічний "другий крок" - із землі у хмари. Однак, щоб із цих хмар не впасти ще на землі варто подбати про безпеку. У першій частині я так докладно розібрав структуру хмари для того, щоб було зрозуміло, які загрози існують для хмарних обчислень. З описаного вище слід виділити такі класи загроз:

Традиційні атаки на ПЗ. Вони пов'язані з вразливістю мережевих протоколів, операційних систем, модульних компонентів та інших. Це традиційні загрози, для захисту від яких достатньо встановити антивірус, міжмережевий екран, IPS та інші компоненти, що обговорюються. Важливо лише, щоб ці засоби захисту були адаптовані до хмарної інфраструктури та ефективно працювали в умовах віртуалізації.

Функціональні атаки на елементи хмари. Цей тип атак пов'язаний з багатошаровістю хмари, загальним принципомбезпеки, що загальний захист системи дорівнює захисту найслабшої ланки. Так успішна DoS-атака на зворотний проксі, встановлений перед хмарою, заблокує доступ до всієї хмари, незважаючи на те, що всередині хмари всі зв'язки працюватимуть без перешкод. Аналогічно SQL-ін'єкція, що пройшла через сервер додатків дасть доступ до даних системи, незалежно від правил доступу в шарі зберігання даних. Для захисту від функціональних атак для кожного шару хмари потрібно використовувати специфічні для нього засоби захисту: для проксі – захист від DoS-атак, для веб-сервер – контроль цілісності сторінок, для сервера додатків – екран рівня додатків, для шару СУБД – захист від SQL -ін'єкцій, для системи зберігання - резервне копіювання та розмежування доступу Окремо кожні з цих захисних механізмів вже створені, але вони не зібрані разом комплексного захистухмари, тому завдання з інтеграції їх у єдину системупотрібно вирішувати під час створення хмари.

Атаки на клієнта. Цей тип атак відпрацьований у веб-середовищі, але він також актуальний для хмари, оскільки клієнти підключаються до хмари, як правило, за допомогою браузера. У нього потрапляють такі атаки як Cross Site Scripting (XSS), перехоплення веб-сесій, крадіжка паролів, "людина посередині" та інші. Захистом від цих атак традиційно є сувора аутентифікація та використання шифрованого з'єднання із взаємною аутентифікацією, проте не всі творці "хмар" можуть собі дозволити настільки марнотратні і, як правило, не дуже зручні засоби захисту. Тому в цій галузі інформаційної безпеки є ще невирішені завдання та простір для створення нових засобів захисту.

Загрози віртуалізації. Оскільки платформою для компонентів хмари традиційно є віртуальні середовища, то атаки на систему віртуалізації також загрожують і всій хмарі в цілому. Цей тип загроз є унікальним для хмарних обчислень, тому його ми детально розглянемо нижче. Зараз починають з'являтися рішення для деяких загроз віртуалізації, проте галузь ця досить нова, тому поки що сформованих рішень поки не вироблено. Цілком можливо, що ринок інформаційної безпеки найближчим часом вироблятиме засоби захисту від цього типу загроз.

Комплексні загрози "хмарам". Контроль хмар та керування ними також є проблемою безпеки. Як гарантувати, що всі ресурси хмари пораховані і немає непідконтрольних віртуальних машин, не запущено зайвих бізнес-процесів і не порушена взаємна конфігурація шарів і елементів хмари. Цей тип загроз пов'язаний з керованістю хмарою як єдиною інформаційною системою та пошуком зловживань чи інших порушень у роботі хмари, які можуть призвести до зайвих витрат на підтримку працездатності. інформаційної системи. Наприклад, якщо є хмара, яка дозволяє за представленим файлом детектувати в ньому вірус, то як запобігти крадіжці таких детектів? Цей тип загроз найбільш високорівневий і я підозрюю, що для нього неможливо універсального засобу захисту - для кожної хмари її загальний захист потрібно будувати індивідуально. Допомогти в цьому може найбільше загальна модельуправління ризиками, які потрібно ще правильно застосувати для хмарних інфраструктур.

Перші два типи загроз вже достатньо вивчені і для них вироблені засоби захисту, проте їх ще потрібно адаптувати для використання у хмарі. Наприклад, міжмережові екрани призначені для захисту периметра, однак у хмарі непросто виділити периметр для окремого клієнта, що значно утруднює захист. Тому технологію міжмережевого екранування потрібно адаптувати до хмарної інфраструктури. Роботу у цьому напрямі зараз активно веде, наприклад, компанія Check Point.

Новим для хмарних обчислень типом погроз є проблеми віртуалізації. Справа в тому, що при використанні цієї технології в системі з'являються додаткові елементи, які можуть бути атаковані. До них можна віднести гіпервізор, систему перенесення віртуальних машин з одного вузла на інший та систему керування віртуальними машинами. Розглянемо докладніше, яким атакам можуть піддатися перелічені елементи.

Атаки на гіпервізор. Власне, ключовим елементом віртуальної системи є гіпервізор, який забезпечує поділ ресурсів. фізичного комп'ютераміж віртуальними машинами Втручання в роботу гіпервізора може призвести до того, що одна віртуальна машина може отримати доступ до пам'яті та ресурсів іншої, перехоплювати її мережевий трафік, відбирати її фізичні ресурси і навіть витіснити віртуальну машину з сервера. Поки мало хто з хакерів розуміє, як саме працює гіпервізор, тому атак такого типу практично немає, проте це ще не гарантує, що вони не з'являться в майбутньому.

Перенесення віртуальних машин. Слід зазначити, що віртуальна машина є файлом, який може бути запущений на виконання в різних вузлах хмари. У системах управління віртуальними машинами передбачені механізми перенесення віртуальних машин із одного вузла в інший. Однак файл віртуальної машини можна взагалі вкрасти і спробувати запустити її за межами хмари. Винести фізичний сервер із ЦОДу неможливо, а ось віртуальну машину можна вкрасти через мережу, не маючи фізичного доступу до серверів. Правда, окрема віртуальна машина за межами хмари не має практичної цінності - красти потрібно як мінімум по одній віртуальній машині з кожного шару, а також дані із системи зберігання для відновлення аналогічної хмари, проте, віртуалізація цілком допускає крадіжку частин або всієї хмари цілком. Тобто втручання у механізми перенесення віртуальних машин породжує нові ризики для інформаційної системи.

Атаки на системи управління. Величезна кількість віртуальних машин, що використовуються у хмарах, особливо в публічних хмарах, потребує таких систем управління, які могли б надійно контролювати створення, перенесення та утилізацію віртуальних машин. Втручання в системи керування може призвести до появи віртуальних машин невидимок, блокування одних машин і підстановка шарів хмари неавторизованих елементів. Все це дозволяє зловмисникам отримувати інформацію з хмари або захоплювати її частини або всю хмару цілком.

Слід зазначити, що поки перераховані вище загрози є суто гіпотетичними, оскільки відомостей про реальні атаки цього практично немає. У той же час, коли віртуалізація та хмари стануть досить популярними, всі ці типи нападів можуть бути цілком реальними. Тому їх варто пам'ятати ще на етапі проектування хмарних систем.

За сьомим небом

Апостол Павло стверджував, що знав людину, яка була захоплена сьомим небом. З того часу словосполучення "сьоме небо" міцно закріпилося для позначення раю. Втім, далеко не всі християнські святі спромоглися побувати навіть на першому небі, проте немає такої людини, яка не мріяла б хоч одним оком поглянути на сьоме небо.

Можливо, саме ця легенда і спонукала творців компанії Trend Micro назвати один із своїх проектів із захисту хмар Cloud Nine – дев'ята хмара. Адже це явно вище сьомого. Втім, зараз цим ім'ям названо найрізноманітніші речі: пісні, детективи, комп'ютерні ігри, проте цілком можливо, що це ім'я було навіяне християнською легендою Павла.

Втім, поки до компанії Trend Micro опублікувала лише відомості про те, що Cloud Nine буде пов'язаний із шифруванням даних у хмарі. Саме шифрування даних і дозволяє захиститися від більшості загроз даним у публічній хмарі, тому подібні проекти зараз активно розвиватимуться. Давайте пофантазуємо, які інструменти захисту можуть стати в нагоді для зниження описаних вище ризиків.

В першу чергу потрібно забезпечити надійну автентифікацію як користувачів хмари, так і її компонентів. Для цього можна, швидше за все, застосовувати готові системи одноразової аутентифікації (SSO), які базуються на Kerberos і протокол взаємної аутентифікації обладнання. Далі будуть потрібні системи управління ідентифікаційною інформацією, які дозволяють налаштовувати права доступу користувачів до різних систем за допомогою рольового управління. Звичайно, доведеться повозитися з визначенням ролей та мінімальних прав для кожної ролі, але один раз налаштувавши систему, її можна буде експлуатувати досить довго.

Коли всі учасники процесу та їх права визначені, потрібно стежити за дотриманням цих прав та виявленням помилок адміністрування. Для цього потрібні системи обробки подій від засобів захисту елементів хмари та додаткових захисних механізмів, таких як екрани міжмережевих, антивіруси, IPS та інші. Щоправда, варто використовувати ті їхні варіанти, які можуть працювати у середовищі віртуалізації – це буде ефективніше.

Крім того, варто також використовувати якусь фрод-машину, яка дозволяла б виявляти шахрайство у використанні хмар, тобто знизити найскладніший ризик втручання у бізнес-процеси. Щоправда, зараз на ринку, швидше за все, немає фрод-машини, яка дозволяла працювати з хмарами, проте технології виявлення випадків шахрайства та зловживання вже відпрацьовані для телефонії. Оскільки у хмарах доведеться впроваджувати білінгову систему, то й фродмашину до неї варто приєднати. Таким чином, можна буде хоча контролювати загрози для бізнес-процесів хмари.

Які ще захисні механізми можна використовувати для захисту хмар? Питання поки що залишається відкритим.

• Відео уроки Microsoft Word для Початківців від Андрія Сухового
• Поняття та основні види архітектури ЕОМ Архітектура та принципи роботи ЕОМ
• Alcatel one touch pixi first 4024d прошивка
• Інструкція з експлуатації samsung смартфон galaxy j1
• Прошивка lg p705 андроїд 4
• Як вимкнути пін-код на андроїді
• Заводське скидання Sony Xperia XA Dual
• Програма для керування комп'ютерним залом GameClass: Встановлення та налаштування Технічний опис проекту
• Програми для вимикання комп'ютера
• Тестуємо український антивірус Zillya!

• Невідома мережа без доступу до Інтернету?
• Найкращі соціальні мережі Які соцмережі зараз популярні
• Виведення звуку на віндовс 5
• Пошта швеції відстеження поштових відправлень шведська поштова компанія
• У ноутбуці інтернет не працює через нещасні випадки
• Найкраща програма для пакетної обробки фотографій
• Програма для відновлення фотографій з карток пам'яті та інших носіїв
• TreeSize Free Розмір папок
• Панель керування Nvidia: як виправити?
• При включенні ноутбука виходить біос, що робити