" Н а у к а м о л о д ы х " , 2 6 н о я б р я 2 0 1 9 г . , А р з а м а с
П о с в я щ а е т с я 8 5 - л е т и ю в ы с ш е г о п е д а г о г и ч е с к о г о о б р а з о в а н и я в А р з а м а с е и
8 0 - л е т и ю п р о ф е с с о р а В я ч е с л а в а П а в л о в и ч а П у ч к о в а
508
хранения ключей шифрования. На серверах поставщика услуг это делать
нельзя. Оптимальным решением в данной ситуации является генерация ключа
из вводимого пользователем пароля или использование внешнего сервера
управления ключами. Хорошей практикой будет разделение серверов,
непосредственно хранящих клиентские данные, и серверов управления
ключами. Рекомендуется отдавать предпочтение своему собственному серверу,
а не стороннему решению.
Для обеспечения безопасности во время передачи данных нельзя
обойтись без использования виртуальной частной сети. VPN обеспечивает
сетевое соединение на базе другой сети. При этом уровень доверия к
построенной сети будет всегда высоким не зависимо от базовой сети. Это
достигается благодаря использованию средств шифрования. VPN часто
прибегают к использованию SSL (Secure Sockets Layer) в качестве протокола
шифрования.
Аутентификация – установление подлинности во всех аспектах. Частный
случай идентификация – установление подлинности сторон взаимодействия.
Аутентификацию чаще всего реализовывают с помощью:
1.
токенов (электронный ключ доступа);
2.
сертификатов.
Самый простой способ аутентификации использование OTP (One Time
Password). Их генерируют специальные сервисы, носимые устройства либо же
специальные программы. OTP может быть доставлен пользователю через SMS,
если речь идет о сервисах. Хорошей практикой является создание специального
сервера аутентификации, изолированного от прочих серверов. Существуют
средства, обеспечивающие прочное взаимодействие поставщика облачных
услуг с системой аутентификации:
1.
протокол LDAP (Lightweight Directory Access Protocol);
2.
язык программирования SAML (Security Assertion Markup
Language).
Рекомендуется отдавать предпочтение своему собственному серверу
аутентификации, а не стороннему решению.
Для изоляции клиентов могут использоваться виртуальные машины и
виртуальные сети [3]. Последние реализуются с помощью:
1.
VPN;
2.
VLAN (Virtual Local Area Network);
3.
VPLS (Virtual Private LAN Service).
VLAN – виртуальная локальная компьютерная сеть. Она позволяет
объединять пользователей из разных сетей в одну логическую сеть так, что со
стороны можно увидеть, будто пользователи из одной сети. Либо наоборот
разделить пользователей из одной реальной сети на несколько виртуальных так,
