クラウド コンピューティングとビッグ データ 第 5 章 クラウド コンピューティングのセキュリティに関する質問集と回答

第5 章 クラウド コンピューティングのセキュリティ演習

5.1多肢選択問題

1. クラウド コンピューティングのセキュリティ問題は主に (D) に起因します。

A. 正規のクラウドコンピューティングユーザーによる不正行為 B. プロバイダーの管理上の過失  

C. プロバイダーによる権限の乱用 D. 上記のすべて

2. クラウド コンピューティングの典型的なセキュリティ問題ではないものは次のうちどれですか (C)。

A. セキュリティ攻撃の問題 B. 信頼性の問題 C. システムの脆弱性 D. マルチテナントの隠れた危険

3. クラウド コンピューティングのセキュリティ目標 (D) は次のうちどれですか。

A．合法的なアクセス行為を保護する B. 不正アクセスを避ける C. 不正アクセスの禁止 D. 上記のすべて

4. ユーザーがクラウドサービスを合法的に入手するための最初のハードルは(A)です。

A. ID 認証 B. 分離メカニズム C. データ暗号化 D. データ完全性保証

5. 異なる利用者間の相互影響を回避し、攻撃を受けるセキュリティリスクを軽減するセキュリティ技術は(B)です。

A. ID 認証メカニズム B. 分離メカニズム C. データ暗号化テクノロジー D. データ完全性保護テクノロジー

6. ID 認証方式 (D) のタイプに属さないものは次のうちどれですか。

A．秘密情報に基づく本人認証 B. 信頼できるオブジェクトに基づく認証     

C．生体認証ベースの認証 D. ユーザー管理による認証

      

7. 信頼できるサーバーを必要としない次のアクセス制御メカニズムは (C) です。

A. XACML B. SAML C. CP-ABE D. KP-ABE

8. KP-ABE と CP-ABE の主な違いは (B) です。

A. 安全な管理アクセス B. 信頼できるサーバーへの依存

C. クライアント側の暗号化制御 D. ハイブリッド暗号化キー管理

      

9. リソ​​ース共有時のマルチテナントの分離セキュリティには主に (D) が含まれます。

A. データ プレーンの分離セキュリティ B. プログラム プレーンの分離セキュリティ 

C. ネットワークプレーンの分離セキュリティ D. 上記すべて

 

10. ブロックチェーンに基づくデータの完全性検証に合格します。 (B) ハッシュ値を計算し、ルートハッシュ値と一致するかどうかを判断します。

A. TEA B. マークル ハッシュ ツリー C. 楕円曲線暗号 D. CSP

11. TEA の主な操作は (C) です。

A. 乗算 B. 否定 C. シフトと XOR D. 上記のすべて

12. クラウド コンピューティング システム内のアクティビティが内部または外部の要件を満たしていることを実証するコンプライアンス メカニズムは (C) です。

A. データ暗号化テクノロジー B. データ整合性検証 C. クラウド コンピューティング監査 D. 楕円曲線暗号化

      

5.2 空白を埋める

1. (アクセス制御メカニズム) は、ユーザーの法的身元を特定した後、何らかの手段を通じて情報リソースへのユーザーの能力およびアクセス範囲を許可または制限するために使用されます。

2. CP-ABE の機能（信頼できるサーバーを必要としない）は、クラウド ストレージ環境において大きな利点を持ち、クラウド サービス プロバイダーが提供する信頼できないサーバーに保存されている特定のデータに対して、さまざまなユーザーのアクセスとさまざまな権限の処理を実現できます。

3. リソース共有時のマルチテナントの分離セキュリティは、（データプレーンの分離セキュリティ）、（プログラムプレーンの分離セキュリティ）、（ネットワークプレーンの分離セキュリティ）に分けることができます。

4. (基本的なクラウド セキュリティ サービス) さまざまなクラウド アプリケーションに共通の情報セキュリティ サービスを提供します。これは、ユーザーのセキュリティ目標を達成するクラウド アプリケーションをサポートする重要な手段です。

5.3 記述式の質問

1. クラウド コンピューティングの主要なセキュリティ テクノロジについて簡単に説明してください。

答え：

1. ID 認証メカニズム。クラウド コンピューティング ID 認証は、クラウド サービス プロバイダーがサービス ユーザーの ID を確認するプロセスです。インターネットでは、ユーザーが所有するデジタル ID は一連の特定のデータによって表され、クラウド サービス プロバイダーはこのデジタル ID を認証および認可します。各個人に固有の物理的 ID とは異なり、デジタル ID は複製やすり替えなどの攻撃を受ける可能性があるため、クラウド サービス プロバイダーは実際の許可されたユーザーを特定し、そのユーザーにサービスを提供する必要があります。
2. アクセス制御メカニズム。クラウド コンピューティングのアクセス制御は、ユーザーの法的身元を特定した後、情報リソースへのユーザーの能力とアクセス範囲、特に主要なリソースへのアクセスを許可または制限し、無許可のユーザーによる侵入や合法的なユーザーによる違法な操作を防ぐために使用されます。 。
3. 隔離メカニズム。クラウド コンピューティングの分離メカニズムにより、ユーザー サービスを閉鎖的で安全な環境で実行できるため、クラウド サービス プロバイダーがユーザーを管理するのに便利であり、ユーザーの観点からは、異なるユーザー間の相互影響を回避し、セキュリティ リスクを軽減できます。違法ユーザーによる攻撃。
4. データ暗号化技術。クラウド コンピューティング データ暗号化テクノロジは、クラウド コンピューティングに適した暗号化アルゴリズムを通じてデータの送信、保存、使用中にデータを暗号化し、データのプライバシーを確​​保します。
5. データ完全性保証テクノロジー。クラウド コンピューティングのデータ完全性保証テクノロジーは、データの送信、保存、処理中にデータが破損または紛失していないことを保証するために使用され、破損または紛失した場合でも、時間内に発見して回復することができます。
6. 監査およびセキュリティのトレーサビリティ技術。クラウド コンピューティング監査およびセキュリティ トレーサビリティ テクノロジは、クラウド コンピューティング システム内の各ユーザーと管理者のアクティビティを記録し、後で照会できるようにするために使用され、例外が見つかった場合は、システム ログを照会することでセキュリティ トレーサビリティと修復を実行できます。

2. クラウド コンピューティング システムは、デジタル セキュリティ ID 管理および制御モジュールを使用して、集中 ID 管理と統一 ID 認証の目的を達成しますが、主にどのような要件を満たす必要がありますか?

答え：

1. シングルサインオンがサポートされています。
2. 複数の認証サービスとパスワード サービスを統合します。
3. さまざまな強度の認証方法を提供します。
4. 分散型でスケーラブルなアーキテクチャをサポートします。
5. ID ライフサイクル管理のサポート。

3. 代表的なクラウドセキュリティ基本サービスについて簡単に説明してください。

答え：

1. クラウド ID 認証および管理サービス。クラウド ID 認証および管理サービスには、主に ID の作成、ログアウト、ID 認証のプロセスが含まれます。。
2. クラウドのアクセス制御および分離サービス。クラウドのアクセス制御および分離サービスの実現は、従来のアクセス制御モデル (役割ベースのアクセス制御、属性ベースのアクセス制御、必須/自発的アクセス制御モデルなど) とさまざまな認可ポリシー言語を適切に統合する方法に依存します。標準（SAML など）が拡張され、クラウド コンピューティング システムに移植されます。
3. クラウド監査およびセキュリティ トレーサビリティ サービス。利用者のセキュリティ管理や証明能力が不足しているため、クラウドサービス事業者にはセキュリティ事故の責任を明確にするために必要な支援が求められており、第三者による監査が特に重要です。
4. クラウド暗号化およびデータ整合性検証サービス。クラウド コンピューティング システム内のさまざまなアプリケーションとデータには、通常、暗号化/復号化の要件があります。最も基本的な暗号化/復号化アルゴリズム サービスに加えて、クラウド暗号化サービス、鍵管理と配布、暗号化操作における証明書管理と配布はすべて、クラウド セキュリティ基本サービスの形で存在できます。

5.4 質問に答える

1. OpenID は、オープンで分散型のネットワーク ID 認証システムです。OpenID の主なコンポーネントは何ですか? ユーザーが OpenID を使用してログインする場合、システムの認証プロセスにはどのような手順が含まれますか?

答え：

OpenID は主に、識別子 (Identifer)、依存当事者 (Relying Party、RP)、および OpenID プロバイダー (OpenID Provider、OP) で構成されます。このうち識別子は、「http/https」形式のURI、または、URIと互換性のある抽象識別子体系である拡張可能なリソース識別子(eXtensible Resource Identifier、XRI)です。RP は、訪問者の ID を検証する必要がある Web システムまたは保護されたオンライン リソースであり、OP によって提供される ID 認証サービスに依存します。OpenID 認証サーバーとして、OP はユーザーに識別子を提供および管理するだけでなく、OpenID システム全体の中核となるオンライン ID 認証サービスもユーザーに提供します。

OpenID の認証プロセスは次のとおりです。

(1) ユーザーは OpenID の RP を要求し、OpenID でログインすることを選択します。

(2) RP は、ユーザーが OpenID でログインすることに同意します。

(3) ユーザーは OpenID を使用して再度ログインし、RP に自分自身への識別子を提供するように要求します。

(4) RP は識別子を標準化し、ユーザーの識別子を OP によって決定された形式に正規化します。

(5) RP と OP 間の関連付けを確立し、ネットワーク内に安全なキー交換チャネルを確立します。

(6) OP は RP のアソシエーション要求を処理します。

(7) RP は OP に本人認証要求を送信すると同時に、ユーザを OP の本人認証入口にリダイレクトします。

(8) ユーザーが初めて認証する場合、OP はユーザーに身元を確認するために必要な認証情報を送信するよう要求します。

(9) ユーザーはログインし、必要な認証情報を OP に送信します。

(10) ユーザーの本人認証に合格した後、OP は結果を RP に通知し、ユーザーのログイン情報をキャッシュしてシングル サインオンを実現します。

(11) RP は OP のフィードバックを判断し、ユーザーがそのリソースにアクセスすることを許可するかどうかを決定します。

(12) 本人認証に合格すると、RP が提供するサービスを利用できるようになります。

妥当な時間枠内 (OP によって設定されたユーザーとシステム間の対話要件に従って) に、ユーザーがセキュリティ論理ドメイン内の OP によって保護されている他の RP にログインすると、OP はユーザーのログイン情報がをキャッシュ領域に格納して関連付けることで、ユーザーは認証情報を提出する必要がなくなり、結果を直接RPに通知することでシングルサインオンを実現します。

2. ABE ベースのクラウド アクセス コントロール モデルにはどの当事者が関与していますか? ABE ベースのクラウド アクセス コントロール モデルのワークフローについて詳しく説明してください。

答え：

ABE アルゴリズムに基づくクラウド アクセス制御モデルには、データ プロバイダー、信頼できる認証センター、クラウド ストレージ サーバー、およびユーザーの 4 つの参加者が含まれます。

ABE アルゴリズムに基づくクラウド アクセス制御モデルのワークフロー:

(1) 信頼された認証センターはマスターキーと公開パラメータを生成し、システム公開キーをデータプロバイダーに送信します。

(2) システム公開鍵を受け取ったデータプロバイダーは、ポリシーツリーとシステム公開鍵を使用してファイルを暗号化し、暗号文とポリシーツリーをクラウドサーバーにアップロードします。

(3) ユーザーがシステムに参加した後、自分の属性セットを信頼できる認証センターにアップロードし、秘密鍵アプリケーションをユーザーに送信します。

(4) ユーザーは、興味のあるデータをダウンロードします。その属性セットが暗号文データのポリシー ツリー構造を満たしている場合、暗号文を復号化できますが、そうでない場合、データへのアクセスは失敗します。