การประมวลผลแบบคลาวด์โดยรวมหมายถึงแหล่งทรัพยากรเสมือนจริงจำนวนมากที่ใช้งานง่ายและเข้าถึงได้ง่าย (เช่น ระบบฮาร์ดแวร์ บริการ ฯลฯ) ทรัพยากรเหล่านี้สามารถจัดสรรใหม่แบบไดนามิก (ปรับขนาด) เพื่อรองรับปริมาณงานที่เปลี่ยนแปลงแบบไดนามิก เพื่อให้มั่นใจว่ามีการใช้ทรัพยากรอย่างเหมาะสมที่สุด โดยปกติแล้วแหล่งทรัพยากรนี้จะมีการจ่ายตามการใช้งานจริง ในเวลาเดียวกัน เจ้าของคลาวด์รับประกันคุณภาพของการบริการตามข้อตกลงบางประการกับผู้ใช้
จากที่กล่าวมาทั้งหมด สามารถแยกแยะคุณสมบัติหลักของการประมวลผลแบบคลาวด์ได้ดังต่อไปนี้:
1) การประมวลผลแบบคลาวด์ถือเป็นกระบวนทัศน์ใหม่ในการจัดหาทรัพยากรการประมวลผล
2) ทรัพยากรโครงสร้างพื้นฐานขั้นพื้นฐาน (ทรัพยากรฮาร์ดแวร์ ระบบจัดเก็บข้อมูล ซอฟต์แวร์ระบบ) และแอปพลิเคชันต่างๆ จัดให้เป็นบริการ
3) บริการเหล่านี้สามารถให้บริการโดยซัพพลายเออร์อิสระสำหรับผู้ใช้ภายนอกตามหลักการ "จ่ายตามการใช้งาน" คุณสมบัติหลักของการประมวลผลแบบคลาวด์คือการจำลองเสมือนและความสามารถในการปรับขนาดแบบไดนามิก
4) สามารถให้บริการคลาวด์แก่ผู้ใช้ผ่านทางเว็บเบราว์เซอร์หรือผ่าน API เฉพาะ (Application Programming Interface)
โมเดลการประมวลผลแบบคลาวด์ทั่วไปประกอบด้วยส่วนหน้าและส่วนหลัง องค์ประกอบทั้งสองนี้เชื่อมต่อผ่านเครือข่าย โดยส่วนใหญ่ผ่านทางอินเทอร์เน็ต ผู้ใช้โต้ตอบกับระบบผ่านส่วนภายนอก ส่วนด้านในเป็นเมฆนั่นเอง ส่วนหน้าประกอบด้วยคอมพิวเตอร์ไคลเอนต์หรือเครือข่ายของคอมพิวเตอร์องค์กรและแอปพลิเคชันที่ใช้ในการเข้าถึงระบบคลาวด์ แบ็กเอนด์ประกอบด้วยแอปพลิเคชัน คอมพิวเตอร์ เซิร์ฟเวอร์ และพื้นที่จัดเก็บข้อมูลที่สร้างบริการคลาวด์ผ่านการจำลองเสมือน (รูปที่ 1)
ด้วยการย้ายเครื่องเสมือนทางกายภาพ (VM) ที่มีอยู่จากศูนย์ข้อมูลไปยังคลาวด์ภายนอก หรือการให้บริการด้านไอทีนอกขอบเขตที่ปลอดภัยในระบบคลาวด์ส่วนตัว ขอบเขตเครือข่ายจะไร้ความหมายโดยสิ้นเชิง และระดับความปลอดภัยโดยรวมจะค่อนข้างต่ำ
หากในศูนย์ข้อมูลแบบดั้งเดิม การเข้าถึงเซิร์ฟเวอร์ของวิศวกรได้รับการควบคุมอย่างเข้มงวดในระดับกายภาพ ดังนั้นในการประมวลผลแบบคลาวด์ การเข้าถึงของวิศวกรจะเกิดขึ้นผ่านทางอินเทอร์เน็ต ซึ่งนำไปสู่การเกิดขึ้นของภัยคุกคามที่เกี่ยวข้อง ดังนั้นการควบคุมการเข้าถึงที่เข้มงวดสำหรับผู้ดูแลระบบตลอดจนการควบคุมและความโปร่งใสของการเปลี่ยนแปลงในระดับระบบจึงเป็นสิ่งสำคัญ
เครื่องเสมือนเป็นแบบไดนามิก ความแปรปรวนของ VM ทำให้การสร้างและบำรุงรักษาระบบรักษาความปลอดภัยที่ครอบคลุมเป็นเรื่องยากมาก ช่องโหว่และข้อผิดพลาดในการกำหนดค่าสามารถแพร่กระจายอย่างไม่สามารถควบคุมได้ นอกจากนี้ เป็นเรื่องยากมากที่จะบันทึกสถานะการป้องกัน ณ จุดใดเวลาหนึ่งโดยเฉพาะเพื่อการตรวจสอบในภายหลัง
เซิร์ฟเวอร์การประมวลผลแบบคลาวด์ใช้ระบบปฏิบัติการและเว็บแอปพลิเคชันเดียวกันกับเซิร์ฟเวอร์เสมือนและเซิร์ฟเวอร์จริงในเครื่อง ดังนั้น สำหรับระบบคลาวด์ ภัยคุกคามจากการแฮ็กจากระยะไกลหรือการติดโค้ดที่เป็นอันตรายก็มีสูงเช่นกัน
ภัยคุกคามอีกประการหนึ่งคือภัยคุกคามต่อความสมบูรณ์ของข้อมูล: การบุกรุกและการโจรกรรมข้อมูล ต้องตรวจสอบความสมบูรณ์ของระบบปฏิบัติการและไฟล์แอปพลิเคชัน รวมถึงกิจกรรมภายใน
การใช้บริการคลาวด์ที่มีผู้เช่าหลายรายทำให้ยากต่อการปฏิบัติตามมาตรฐานและกฎหมาย ซึ่งรวมถึงข้อกำหนดสำหรับการใช้วิธีการเข้ารหัสเพื่อปกป้องข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลบัตรเครดิตและข้อมูลระบุตัวตนส่วนบุคคล ในทางกลับกัน สิ่งนี้จะสร้างงานที่ยากลำบากในการรับรองการป้องกันที่เชื่อถือได้และการเข้าถึงข้อมูลสำคัญอย่างปลอดภัย
จากการวิเคราะห์ภัยคุกคามที่เป็นไปได้ในการประมวลผลแบบคลาวด์ มีการเสนอซอฟต์แวร์และฮาร์ดแวร์แบบบูรณาการการป้องกันความปลอดภัยสำหรับการประมวลผลบนคลาวด์ ซึ่งประกอบด้วย 5 เทคโนโลยี: ไฟร์วอลล์ การตรวจจับและป้องกันการบุกรุก การควบคุมความสมบูรณ์ การวิเคราะห์บันทึก และการป้องกันซอฟต์แวร์ที่เป็นอันตราย
ผู้ให้บริการคอมพิวเตอร์ระบบคลาวด์ใช้การจำลองเสมือนเพื่อให้ลูกค้าสามารถเข้าถึงทรัพยากรคอมพิวเตอร์ที่มีต้นทุนต่ำ ในขณะเดียวกัน VM ไคลเอนต์ก็แชร์ทรัพยากรฮาร์ดแวร์เดียวกัน ซึ่งจำเป็นเพื่อให้บรรลุประสิทธิภาพทางเศรษฐกิจสูงสุด ลูกค้าองค์กรที่สนใจการประมวลผลแบบคลาวด์เพื่อขยายโครงสร้างพื้นฐานด้านไอทีภายในของตนจะต้องคำนึงถึงภัยคุกคามที่เกิดจากการเคลื่อนไหวดังกล่าว นอกเหนือจากกลไกการป้องกันเครือข่ายแบบดั้งเดิมสำหรับศูนย์ข้อมูลที่ใช้วิธีการรักษาความปลอดภัยเช่น: ไฟร์วอลล์ที่ขอบ, โซนปลอดทหาร, การแบ่งส่วนเครือข่าย, เครื่องมือตรวจสอบสุขภาพเครือข่าย, ระบบตรวจจับและป้องกันการบุกรุก, กลไกการป้องกันข้อมูลซอฟต์แวร์ควรใช้บนเซิร์ฟเวอร์เสมือนจริงหรือบน VM เนื่องจากการถ่ายโอน VM ไปยังบริการคลาวด์สาธารณะ ขอบเขตของเครือข่ายองค์กรจะค่อยๆ สูญเสียความหมาย และโหนดที่มีการป้องกันน้อยที่สุดเริ่มมีอิทธิพลอย่างมากต่อระดับความปลอดภัยโดยรวม การแยกทางกายภาพและการใช้ความปลอดภัยของฮาร์ดแวร์เพื่อป้องกันการโจมตีระหว่าง VM นั้นเป็นไปไม่ได้ ซึ่งนำไปสู่ความจำเป็นในการวางกลไกการป้องกันบนเซิร์ฟเวอร์การจำลองเสมือนหรือบน VM เอง การใช้วิธีการรักษาความปลอดภัยที่ครอบคลุมบนเครื่องเสมือน รวมถึงการใช้ซอฟต์แวร์ไฟร์วอลล์ การตรวจจับและป้องกันการบุกรุก การตรวจสอบความสมบูรณ์ การวิเคราะห์บันทึก และการป้องกันโค้ดที่เป็นอันตราย เป็นวิธีที่มีประสิทธิภาพที่สุดในการปกป้องความสมบูรณ์ ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ และปฏิบัติตาม ด้วยนโยบายความปลอดภัยเมื่อย้ายทรัพยากรเสมือนจากเครือข่ายภายในไปยังสภาพแวดล้อมคลาวด์
วรรณกรรม:
1. Radchenko G.I. ระบบคอมพิวเตอร์แบบกระจาย // หนังสือเรียน. - 2012. - หน้า 146-149.
2. Kondrashin M. ความปลอดภัยของคลาวด์คอมพิวติ้ง // ข่าวการจัดเก็บ - 2010. - อันดับ 1.
มีหลายวิธีในการสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กร การปรับใช้ทรัพยากรและบริการทั้งหมดบนแพลตฟอร์มคลาวด์เป็นเพียงหนึ่งในนั้น อย่างไรก็ตาม อคติเกี่ยวกับความปลอดภัยของโซลูชันคลาวด์มักจะกลายเป็นอุปสรรคต่อเส้นทางนี้ ในบทความนี้เราจะทำความเข้าใจว่าระบบรักษาความปลอดภัยทำงานอย่างไรในระบบคลาวด์ของ Yandex ผู้ให้บริการรัสเซียที่มีชื่อเสียงที่สุดรายหนึ่ง
เทพนิยายเป็นเรื่องโกหก แต่มีคำใบ้อยู่ในนั้น
จุดเริ่มต้นของเรื่องนี้เล่าได้ราวกับเทพนิยายชื่อดัง ในบริษัทมีผู้ดูแลระบบสามคน คนโตเป็นคนฉลาด คนกลางคือคนนี้ และคนสุดท้องเป็นเพียง... เด็กฝึกหัดของเอนิกี้ ฉันเพิ่มผู้ใช้ใน Active Directory และแก้ไขส่วนท้ายของระบบ Cisco ถึงเวลาแล้วที่บริษัทจะขยายกิจการ และพระราชาซึ่งก็คือเจ้านายก็เรียกกองทัพผู้ดูแลระบบของเขา เขากล่าวว่า ผมหวังว่าบริการเว็บใหม่ๆ สำหรับลูกค้าของเรา พื้นที่จัดเก็บไฟล์ของเราเอง ฐานข้อมูลที่ได้รับการจัดการ และเครื่องเสมือนสำหรับการทดสอบซอฟต์แวร์
น้องคนสุดท้องเสนอให้สร้างโครงสร้างพื้นฐานของตัวเองตั้งแต่เริ่มต้นทันที: การซื้อเซิร์ฟเวอร์, ติดตั้งและกำหนดค่าซอฟต์แวร์, ขยายช่องทางอินเทอร์เน็ตหลักและเพิ่มช่องทางสำรองเพื่อความน่าเชื่อถือ และบริษัทก็สงบมากขึ้น: ฮาร์ดแวร์อยู่ใกล้แค่เอื้อม บางสิ่งสามารถเปลี่ยนหรือกำหนดค่าใหม่ได้ตลอดเวลา และตัวเขาเองจะมีโอกาสที่ดีเยี่ยมในการอัปเกรดทักษะผู้ดูแลระบบของเขา คิดแล้วน้ำตาไหล บริษัททนค่าใช้จ่ายแบบนี้ไม่ได้ ธุรกิจขนาดใหญ่สามารถทำได้ แต่สำหรับธุรกิจขนาดกลางและขนาดเล็กนั้นมีราคาแพงเกินไป ไม่เพียงแต่จำเป็นต้องซื้ออุปกรณ์ ติดตั้งห้องเซิร์ฟเวอร์ ติดตั้งเครื่องปรับอากาศ และตั้งค่าสัญญาณเตือนไฟไหม้เท่านั้น คุณยังต้องจัดระเบียบกะเพื่อเฝ้าติดตามความสงบทั้งกลางวันและกลางคืน และขับไล่การโจมตีเครือข่ายจากผู้คนที่ห้าวหาญบนอินเทอร์เน็ต และด้วยเหตุผลบางประการ ผู้ดูแลระบบไม่ต้องการทำงานในเวลากลางคืนและวันหยุดสุดสัปดาห์ ถ้าเพียงเพื่อการชำระเงินสองครั้ง
ผู้ดูแลระบบอาวุโสพิจารณาหน้าต่างเทอร์มินัลอย่างไตร่ตรองและแนะนำให้วางบริการทั้งหมดไว้บนคลาวด์ แต่แล้วเพื่อนร่วมงานของเขาก็เริ่มเล่าเรื่องสยองขวัญให้กันฟัง พวกเขาบอกว่าโครงสร้างพื้นฐานคลาวด์มีอินเทอร์เฟซและ API ที่ไม่ปลอดภัย ทำให้โหลดไคลเอนต์ที่แตกต่างกันได้ไม่ดี ซึ่งอาจทำให้ทรัพยากรของคุณต้องทนทุกข์ทรมาน และยังทำให้ข้อมูลไม่เสถียรอีกด้วย การโจมตีภายนอก โดยทั่วไปแล้ว การถ่ายโอนการควบคุมข้อมูลและซอฟต์แวร์ที่สำคัญไปยังคนแปลกหน้าซึ่งคุณไม่เคยกินเกลือหรือดื่มเบียร์สักถังด้วยเลยเป็นเรื่องที่น่ากลัว
คนทั่วไปมีแนวคิดที่จะวางระบบไอทีทั้งหมดไว้ในศูนย์ข้อมูลของผู้ให้บริการบนช่องทางของตน นั่นคือสิ่งที่พวกเขาตัดสินใจ อย่างไรก็ตาม มีเรื่องน่าประหลาดใจหลายประการรออยู่ทั้งสามคนของเรา ซึ่งไม่ใช่ทั้งหมดที่น่าพึงพอใจ
ประการแรก โครงสร้างพื้นฐานเครือข่ายใดๆ จำเป็นต้องมีเครื่องมือป้องกันและความปลอดภัยที่จำเป็น ซึ่งแน่นอนว่าได้มีการปรับใช้ กำหนดค่า และเปิดใช้งานแล้ว ลูกค้าจะต้องชำระเฉพาะต้นทุนของทรัพยากรฮาร์ดแวร์ที่ใช้เท่านั้น และระบบรักษาความปลอดภัยข้อมูลสมัยใหม่ใช้ทรัพยากรจำนวนมาก
ประการที่สอง ธุรกิจยังคงเติบโตอย่างต่อเนื่อง และโครงสร้างพื้นฐานที่สร้างขึ้นตั้งแต่แรกนั้นทะลุขีดจำกัดความสามารถในการขยายอย่างรวดเร็ว ยิ่งไปกว่านั้น เพื่อขยายออกไป แค่เปลี่ยนอัตราค่าไฟฟ้ายังไม่เพียงพอ ในกรณีนี้ บริการหลายอย่างจะต้องถูกถ่ายโอนไปยังเซิร์ฟเวอร์อื่น กำหนดค่าใหม่ และบางบริการยังได้รับการออกแบบใหม่ทั้งหมดตั้งแต่ต้นด้วยซ้ำ
ในที่สุด วันหนึ่ง เนื่องจากช่องโหว่ร้ายแรงในแอปพลิเคชันตัวใดตัวหนึ่ง ระบบทั้งหมดจึงล่ม ผู้ดูแลระบบดึงข้อมูลจากสำเนาสำรองอย่างรวดเร็ว แต่ไม่สามารถระบุสาเหตุของสิ่งที่เกิดขึ้นได้อย่างรวดเร็ว เนื่องจากพวกเขาลืมตั้งค่าการสำรองข้อมูลสำหรับบริการบันทึกข้อมูล เวลาอันมีค่าหายไป และเวลาก็คือเงิน
การคำนวณค่าใช้จ่ายและการสรุปผลลัพธ์ทำให้ฝ่ายบริหารของ บริษัท ไปสู่ข้อสรุปที่น่าผิดหวัง: ผู้ดูแลระบบที่ตั้งแต่เริ่มแรกเสนอให้ใช้โมเดลคลาวด์ IaaS - "โครงสร้างพื้นฐานเป็นบริการ" - พูดถูก สำหรับความปลอดภัยของแพลตฟอร์มดังกล่าว เป็นเรื่องที่ควรค่าแก่การพูดคุยแยกกัน และเราจะทำสิ่งนี้โดยใช้ตัวอย่างบริการดังกล่าวที่ได้รับความนิยมมากที่สุด - Yandex.Cloud
ความปลอดภัยใน Yandex.Cloud
มาเริ่มกันเลยตามที่ Cheshire Cat แนะนำเด็กผู้หญิงอลิซตั้งแต่ต้น นั่นก็คือจากประเด็นการแบ่งแยกความรับผิดชอบ ใน Yandex.Cloud เช่นเดียวกับแพลตฟอร์มอื่นที่คล้ายคลึงกัน ผู้ให้บริการมีหน้าที่รับผิดชอบด้านความปลอดภัยของบริการที่มอบให้แก่ผู้ใช้ ในขณะที่ความรับผิดชอบของลูกค้าเองนั้นรวมถึงการรับรองการทำงานที่ถูกต้องของแอปพลิเคชันที่เขาพัฒนา การจัดระเบียบและการกำหนดขอบเขตการเข้าถึงระยะไกล การจัดสรรทรัพยากร และการกำหนดค่าฐานข้อมูลและเครื่องเสมือน ควบคุมการบันทึก อย่างไรก็ตาม ด้วยเหตุนี้ เขาได้รับเครื่องมือที่จำเป็นทั้งหมด
ความปลอดภัยของโครงสร้างพื้นฐานคลาวด์ของ Yandex มีหลายระดับ ซึ่งแต่ละระดับใช้หลักการรักษาความปลอดภัยของตนเองและใช้เทคโนโลยีที่แยกจากกัน
ชั้นทางกายภาพ
ไม่มีความลับใดที่ Yandex มีศูนย์ข้อมูลของตนเองซึ่งให้บริการแผนกความปลอดภัยของตนเอง เรากำลังพูดถึงไม่เพียงแต่เกี่ยวกับบริการกล้องวงจรปิดและการควบคุมการเข้าถึงที่ออกแบบมาเพื่อป้องกันบุคคลภายนอกเข้าไปในห้องเซิร์ฟเวอร์ แต่ยังเกี่ยวกับระบบควบคุมสภาพอากาศ เครื่องดับเพลิง และแหล่งจ่ายไฟสำรอง การ์ดสเติร์นจะมีประโยชน์เพียงเล็กน้อย หากวันหนึ่งชั้นวางเซิร์ฟเวอร์ของคุณมีน้ำจากสปริงเกอร์ดับเพลิงท่วมอยู่ หรือหากเกิดความร้อนมากเกินไปหลังจากที่เครื่องปรับอากาศไม่ทำงาน สิ่งนี้จะไม่เกิดขึ้นกับพวกเขาในศูนย์ข้อมูลยานเดกซ์อย่างแน่นอน
นอกจากนี้ ฮาร์ดแวร์คลาวด์ยังถูกแยกทางกายภาพออกจาก "ยานเดกซ์ขนาดใหญ่": ฮาร์ดแวร์เหล่านี้อยู่ในชั้นวางที่แตกต่างกัน แต่ในลักษณะเดียวกันทุกประการจะต้องได้รับการบำรุงรักษาตามปกติและการเปลี่ยนส่วนประกอบ ไฟร์วอลล์ฮาร์ดแวร์ถูกใช้ที่ขอบของโครงสร้างพื้นฐานทั้งสองนี้ และใช้ไฟร์วอลล์แบบโฮสต์ของซอฟต์แวร์ภายในคลาวด์ นอกจากนี้ สวิตช์ระดับบนสุดยังใช้ระบบควบคุมการเข้าถึง ACL (รายการควบคุมการเข้าถึง) ซึ่งเพิ่มความปลอดภัยของโครงสร้างพื้นฐานทั้งหมดอย่างมาก ยานเดกซ์สแกนคลาวด์จากภายนอกเป็นประจำเพื่อค้นหาพอร์ตที่เปิดอยู่และข้อผิดพลาดในการกำหนดค่า เพื่อให้สามารถรับรู้และกำจัดช่องโหว่ที่อาจเกิดขึ้นได้ล่วงหน้า สำหรับพนักงานที่ทำงานกับทรัพยากรคลาวด์ ระบบการตรวจสอบสิทธิ์แบบรวมศูนย์โดยใช้คีย์ SSH พร้อมโมเดลการเข้าถึงตามบทบาทได้ถูกนำมาใช้ และเซสชันของผู้ดูแลระบบทั้งหมดจะถูกบันทึกไว้ แนวทางนี้เป็นส่วนหนึ่งของโมเดล Secure by default ที่ Yandex ใช้ในระดับสากล: การรักษาความปลอดภัยถูกสร้างขึ้นในโครงสร้างพื้นฐานด้านไอทีในขั้นตอนของการออกแบบและพัฒนา และจะไม่ถูกเพิ่มในภายหลังเมื่อทุกอย่างถูกนำไปใช้งานแล้ว
ระดับโครงสร้างพื้นฐาน
ในระดับ “ตรรกะฮาร์ดแวร์-ซอฟต์แวร์” Yandex.Cloud ใช้บริการโครงสร้างพื้นฐานสามประการ: Compute Cloud, Virtual Private Cloud และ Yandex Managed Services และตอนนี้เกี่ยวกับรายละเอียดเพิ่มเติมเล็กน้อยเกี่ยวกับแต่ละรายการ
คำนวณคลาวด์
บริการนี้มอบพลังการประมวลผลที่ปรับขนาดได้สำหรับงานต่างๆ เช่น การโฮสต์โครงการเว็บและบริการที่มีภาระงานสูง การทดสอบและการสร้างต้นแบบ หรือการโยกย้ายโครงสร้างพื้นฐานด้านไอทีชั่วคราวในช่วงระยะเวลาของการซ่อมแซมหรือเปลี่ยนอุปกรณ์ของตัวเอง คุณสามารถจัดการบริการผ่านคอนโซล บรรทัดคำสั่ง (CLI) SDK หรือ API
การรักษาความปลอดภัยของ Compute Cloud ขึ้นอยู่กับข้อเท็จจริงที่ว่าเครื่องเสมือนของไคลเอ็นต์ทั้งหมดใช้คอร์อย่างน้อยสองคอร์ และไม่มีการผูกมัดมากเกินไปในการจัดสรรหน่วยความจำ เนื่องจากมีเพียงโค้ดไคลเอ็นต์เท่านั้นที่ถูกเรียกใช้งานบนเคอร์เนล ระบบจึงไม่เสี่ยงต่อช่องโหว่ เช่น L1TF, Spectre และ Meltdown หรือการโจมตีช่องทางด้านข้าง
นอกจากนี้ Yandex ยังใช้ชุดประกอบ Qemu/KVM ของตัวเอง ซึ่งทุกสิ่งที่ไม่จำเป็นจะถูกปิดใช้งาน เหลือเพียงชุดโค้ดและไลบรารีขั้นต่ำที่จำเป็นสำหรับการทำงานของไฮเปอร์ไวเซอร์ ในกรณีนี้ กระบวนการต่างๆ จะเปิดตัวภายใต้การควบคุมของเครื่องมือที่ใช้ AppArmor ซึ่งใช้นโยบายความปลอดภัยในการกำหนดทรัพยากรระบบและสิทธิ์ที่แอปพลิเคชันเฉพาะสามารถเข้าถึงได้ AppArmor ที่ทำงานบนเครื่องเสมือนแต่ละเครื่องช่วยลดความเสี่ยงที่แอปพลิเคชันไคลเอนต์จะสามารถเข้าถึงไฮเปอร์ไวเซอร์จาก VM ในการรับและประมวลผลบันทึก Yandex ได้สร้างกระบวนการในการส่งข้อมูลจาก AppArmor และแซนด์บ็อกซ์ไปยัง Splunk ของตัวเอง
คลาวด์ส่วนตัวเสมือน
บริการ Virtual Private Cloud ช่วยให้คุณสร้างเครือข่ายคลาวด์ที่ใช้ในการถ่ายโอนข้อมูลระหว่างทรัพยากรต่างๆ และการเชื่อมต่อกับอินเทอร์เน็ต ทางกายภาพ บริการนี้ได้รับการสนับสนุนโดยศูนย์ข้อมูลที่เป็นอิสระสามแห่ง ในสภาพแวดล้อมนี้ การแยกทางลอจิคัลจะดำเนินการที่ระดับการเชื่อมต่อระหว่างหลายโปรโตคอล - MPLS ในเวลาเดียวกันยานเดกซ์จะคลุมเครืออินเทอร์เฟซระหว่าง SDN และไฮเปอร์ไวเซอร์อย่างต่อเนื่องนั่นคือจากด้านข้างของเครื่องเสมือนกระแสของแพ็กเก็ตที่มีรูปแบบไม่ถูกต้องจะถูกส่งไปยังสภาพแวดล้อมภายนอกอย่างต่อเนื่องเพื่อรับการตอบสนองจาก SDN วิเคราะห์และ ปิดช่องว่างที่เป็นไปได้ในการกำหนดค่า การป้องกันการโจมตี DDoS จะถูกเปิดใช้งานโดยอัตโนมัติเมื่อสร้างเครื่องเสมือน
บริการจัดการของยานเดกซ์
Yandex Managed Services เป็นสภาพแวดล้อมซอฟต์แวร์สำหรับจัดการบริการต่างๆ: DBMS, คลัสเตอร์ Kubernetes, เซิร์ฟเวอร์เสมือนในโครงสร้างพื้นฐาน Yandex.Cloud ที่นี่บริการจะเน้นงานด้านความปลอดภัยเป็นส่วนใหญ่ การสำรองข้อมูล การเข้ารหัสการสำรองข้อมูล การจัดการช่องโหว่ และอื่นๆ ทั้งหมดจัดทำโดยอัตโนมัติโดยซอฟต์แวร์ Yandex.Cloud
เครื่องมือตอบสนองต่อเหตุการณ์
เพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูลอย่างทันท่วงที จำเป็นต้องระบุสาเหตุของปัญหาอย่างทันท่วงที เหตุใดจึงจำเป็นต้องใช้เครื่องมือตรวจสอบที่เชื่อถือได้ซึ่งควรทำงานตลอดเวลาและไม่มีข้อผิดพลาด? ระบบดังกล่าวจะใช้ทรัพยากรอย่างหลีกเลี่ยงไม่ได้ แต่ Yandex.Cloud จะไม่ส่งต่อค่าใช้จ่ายในการประมวลผลสำหรับเครื่องมือรักษาความปลอดภัยให้กับผู้ใช้แพลตฟอร์ม
เมื่อเลือกเครื่องมือ Yandex ได้รับคำแนะนำจากข้อกำหนดที่สำคัญอีกประการหนึ่ง: ในกรณีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ 0day ในแอปพลิเคชันตัวใดตัวหนึ่ง ผู้โจมตีไม่ควรไปเกินกว่าโฮสต์ของแอปพลิเคชัน ในขณะที่ทีมรักษาความปลอดภัยควรเรียนรู้เกี่ยวกับเหตุการณ์ดังกล่าวทันทีและตอบสนอง ตามความจำเป็น
สุดท้ายแต่ไม่ท้ายสุด เราต้องการให้เครื่องมือทั้งหมดเป็นโอเพ่นซอร์ส เกณฑ์เหล่านี้ตรงตามเกณฑ์โดยสมบูรณ์ด้วยชุดค่าผสม AppArmor + Osquery ซึ่งตัดสินใจใช้ใน Yandex.Cloud
แอพอาร์เมอร์
AppArmor ที่กล่าวไปแล้วข้างต้นเป็นเครื่องมือซอฟต์แวร์ความปลอดภัยเชิงรุกที่ใช้โปรไฟล์ความปลอดภัยที่ปรับแต่งได้ โปรไฟล์ใช้เทคโนโลยีการควบคุมการเข้าถึงตามป้ายกำกับความเป็นส่วนตัวของ Mandatory Access Control (MAC) ซึ่งใช้งานโดยใช้ LSM โดยตรงในเคอร์เนล Linux โดยเริ่มจากเวอร์ชัน 2.6 นักพัฒนา Yandex เลือก AppArmor ด้วยเหตุผลดังต่อไปนี้:
- ความเบาและความเร็วเนื่องจากเครื่องมือนี้ใช้ส่วนหนึ่งของเคอร์เนล Linux OS
- มันเป็นโซลูชั่นโอเพ่นซอร์ส
- AppArmor สามารถติดตั้งได้อย่างรวดเร็วบน Linux โดยไม่ต้องเขียนโค้ดใดๆ
- การกำหนดค่าที่ยืดหยุ่นสามารถทำได้โดยใช้ไฟล์การกำหนดค่า
ออสคิวรี
Osquery เป็นเครื่องมือตรวจสอบความปลอดภัยของระบบที่พัฒนาโดย Facebook และขณะนี้ประสบความสำเร็จในการใช้งานในอุตสาหกรรมไอทีหลายแห่ง นอกจากนี้ เครื่องมือนี้ยังเป็นแบบข้ามแพลตฟอร์มและโอเพ่นซอร์สอีกด้วย
เมื่อใช้ Osquery คุณสามารถรวบรวมข้อมูลเกี่ยวกับสถานะของส่วนประกอบต่างๆ ของระบบปฏิบัติการ สะสม แปลงเป็นรูปแบบ JSON มาตรฐาน และส่งไปยังผู้รับที่เลือก เครื่องมือนี้ช่วยให้คุณสามารถเขียนและส่งแบบสอบถาม SQL มาตรฐานไปยังแอปพลิเคชัน ซึ่งจัดเก็บไว้ในฐานข้อมูล rocksdb คุณสามารถกำหนดค่าความถี่และเงื่อนไขในการดำเนินการหรือประมวลผลคำขอเหล่านี้ได้
ตารางมาตรฐานใช้คุณสมบัติหลายอย่างอยู่แล้ว เช่น คุณสามารถรับรายการกระบวนการที่ทำงานบนระบบ แพ็คเกจที่ติดตั้ง ชุดกฎ iptables ปัจจุบัน เอนทิตี crontab เป็นต้น มีการนำการสนับสนุนการรับและแยกวิเคราะห์เหตุการณ์จากระบบการตรวจสอบเคอร์เนลมาใช้ทันที (ใช้ใน Yandex.Cloud เพื่อประมวลผลเหตุการณ์ AppArmor)
Osquery เขียนด้วยภาษา C++ และเผยแพร่เป็นโอเพ่นซอร์ส คุณสามารถแก้ไขและเพิ่มตารางใหม่ลงในฐานโค้ดหลักหรือสร้างส่วนขยายของคุณเองใน C, Go หรือ Python
คุณสมบัติที่มีประโยชน์ของ Osquery คือการมีระบบสืบค้นแบบกระจาย ซึ่งคุณสามารถเรียกใช้การสืบค้นแบบเรียลไทม์กับเครื่องเสมือนทั้งหมดที่อยู่ในเครือข่าย สิ่งนี้อาจมีประโยชน์ เช่น หากค้นพบช่องโหว่ในแพ็คเกจ: ด้วยคำขอเดียว คุณจะได้รับรายชื่อเครื่องที่ติดตั้งแพ็คเกจนี้ คุณลักษณะนี้ใช้กันอย่างแพร่หลายเมื่อจัดการระบบแบบกระจายขนาดใหญ่ที่มีโครงสร้างพื้นฐานที่ซับซ้อน
ข้อสรุป
หากเรากลับมาที่เรื่องราวที่เล่าไว้ตอนต้นของบทความนี้ เราจะพบว่าความกลัวที่บีบบังคับให้ฮีโร่ของเราละทิ้งการปรับใช้โครงสร้างพื้นฐานบนแพลตฟอร์มคลาวด์กลายเป็นเรื่องไม่มีมูล อย่างน้อยก็เมื่อพูดถึง Yandex.Cloud ความปลอดภัยของโครงสร้างพื้นฐานคลาวด์ที่สร้างโดย Yandex มีสถาปัตยกรรมแบบหลายชั้น ดังนั้นจึงให้การป้องกันในระดับสูงต่อภัยคุกคามส่วนใหญ่ที่รู้จักในปัจจุบัน
ในเวลาเดียวกัน เนื่องจากการประหยัดในการบำรุงรักษาฮาร์ดแวร์ตามปกติและการชำระค่าทรัพยากรที่ใช้โดยระบบการตรวจสอบและป้องกันเหตุการณ์ซึ่ง Yandex ดำเนินการ การใช้ Yandex.Cloud จึงช่วยประหยัดเงินได้อย่างมากสำหรับธุรกิจขนาดเล็กและขนาดกลาง แน่นอนว่าเป็นไปไม่ได้ที่จะละทิ้งแผนกไอทีหรือแผนกที่รับผิดชอบด้านความปลอดภัยของข้อมูลโดยสิ้นเชิง (โดยเฉพาะอย่างยิ่งหากทั้งสองบทบาทนี้รวมกันเป็นทีมเดียว) แต่ Yandex.Cloud จะลดต้นทุนค่าแรงและค่าโสหุ้ยลงอย่างมาก
เนื่องจาก Yandex.Cloud มอบโครงสร้างพื้นฐานที่ปลอดภัยให้กับลูกค้าด้วยเครื่องมือรักษาความปลอดภัยที่จำเป็นทั้งหมด พวกเขาสามารถมุ่งเน้นไปที่กระบวนการทางธุรกิจ โดยปล่อยให้ผู้ให้บริการดูแลงานบำรุงรักษาและการตรวจสอบฮาร์ดแวร์ ซึ่งไม่ได้ขจัดความจำเป็นในการดูแลระบบ VM ฐานข้อมูล และแอปพลิเคชันอย่างต่อเนื่อง แต่งานต่างๆ ดังกล่าวจะต้องได้รับการแก้ไขไม่ว่าในกรณีใดก็ตาม โดยทั่วไปเราสามารถพูดได้ว่า Yandex.Cloud ไม่เพียงช่วยประหยัดเงิน แต่ยังประหยัดเวลาอีกด้วย และอย่างที่สองซึ่งแตกต่างจากครั้งแรกคือทรัพยากรที่ไม่สามารถถูกทดแทนได้
GRIGORIEV1 Vitaly Robertovich ผู้สมัครสาขาวิทยาศาสตร์เทคนิค รองศาสตราจารย์ KUZNETSOV2 Vladimir Sergeevich
ปัญหาในการระบุช่องโหว่ในโมเดลคอมพิวเตอร์คลาวด์
บทความนี้ให้ภาพรวมของแนวทางการสร้างแบบจำลองแนวคิดของการประมวลผลแบบคลาวด์ ตลอดจนการเปรียบเทียบมุมมองที่มีอยู่เกี่ยวกับการระบุช่องโหว่ที่มีอยู่ในระบบที่สร้างขึ้นบนพื้นฐานของแบบจำลองนี้ คำสำคัญ: การประมวลผลแบบคลาวด์ ช่องโหว่ เคอร์เนลภัยคุกคาม การจำลองเสมือน
วัตถุประสงค์ของบทความนี้คือการทบทวนแนวทางการสร้างแบบจำลองแนวคิดของการประมวลผลแบบคลาวด์ที่ให้ไว้ในเอกสาร "สถาปัตยกรรมอ้างอิง NIST Cloud Computing" และเปรียบเทียบความคิดเห็นขององค์กรชั้นนำในสาขานี้เกี่ยวกับช่องโหว่ในเงื่อนไขของแบบจำลองการประมวลผลนี้ ตลอดจนผู้เล่นหลักในตลาดด้านการสร้างระบบคลาวด์
การประมวลผลแบบคลาวด์เป็นรูปแบบที่ให้การเข้าถึงเครือข่ายตามความต้องการที่สะดวกสำหรับทรัพยากรการคำนวณที่ใช้ร่วมกันและกำหนดค่าได้ (เครือข่าย เซิร์ฟเวอร์ ที่จัดเก็บข้อมูล แอปพลิเคชันและบริการ) ซึ่งให้อย่างรวดเร็วโดยใช้ความพยายามในการจัดการและการโต้ตอบกับผู้ให้บริการเพียงเล็กน้อย คำจำกัดความของสถาบันมาตรฐานแห่งชาติ (NIST) นี้ได้รับการยอมรับอย่างกว้างขวางทั่วทั้งอุตสาหกรรม คำจำกัดความของการประมวลผลแบบคลาวด์ประกอบด้วยคุณลักษณะพื้นฐานหลัก 5 ประการ โมเดลบริการ 3 รูปแบบ และโมเดลการใช้งาน 4 รูปแบบ
คุณสมบัติหลักห้าประการ
บริการตนเองตามความต้องการ
ผู้ใช้สามารถรับ ควบคุม และจัดการทรัพยากรคอมพิวเตอร์ได้โดยไม่ต้องได้รับความช่วยเหลือจากผู้ดูแลระบบ การเข้าถึงเครือข่ายในวงกว้าง - บริการคอมพิวเตอร์มีให้ผ่านเครือข่ายมาตรฐานและอุปกรณ์ที่ต่างกัน
ความยืดหยุ่นในการดำเนินงาน - 1T-
ทรัพยากรสามารถปรับขนาดได้อย่างรวดเร็วไปในทิศทางใดก็ได้ตามต้องการ
กลุ่มทรัพยากร - ทรัพยากร 1T ถูกใช้ร่วมกันโดยแอปพลิเคชันและผู้ใช้ต่างๆ ในลักษณะแยกจากกัน
การคำนวณต้นทุนการบริการ - ตามกฎแล้วจะมีการติดตามการใช้ทรัพยากรไอทีสำหรับแต่ละแอปพลิเคชันและผู้ใช้เพื่อจัดเตรียมการเรียกเก็บเงินสำหรับคลาวด์สาธารณะและการคำนวณภายในสำหรับการใช้คลาวด์ส่วนตัว
สามรูปแบบการบริการ
ซอฟต์แวร์เป็นบริการ (SaaS) - โดยทั่วไปแล้วแอปพลิเคชันจะให้บริการแก่ผู้ใช้ผ่านทางเว็บเบราว์เซอร์ ปัจจุบันมีข้อเสนอ SaaS หลายร้อยรายการ ตั้งแต่แอปพลิเคชันระดับองค์กรแนวนอนไปจนถึงข้อเสนอเฉพาะอุตสาหกรรม รวมถึงแอปพลิเคชันสำหรับผู้บริโภค เช่น อีเมล
แพลตฟอร์มเป็นบริการ (PaaS) - แพลตฟอร์มการพัฒนาและปรับใช้แอปพลิเคชันเป็นบริการสำหรับนักพัฒนาในการสร้าง ปรับใช้ และจัดการแอปพลิเคชัน SaaS โดยทั่วไปแล้ว แพลตฟอร์มจะประกอบด้วยฐานข้อมูล มิดเดิลแวร์ และเครื่องมือในการพัฒนา ซึ่งทั้งหมดนี้ให้บริการในรูปแบบบริการทางอินเทอร์เน็ต PaaS มักมุ่งเน้นไปที่ภาษาการเขียนโปรแกรมหรือ API เช่น Java หรือ Python สถาปัตยกรรมคลัสเตอร์เสมือนจริงของการประมวลผลแบบกระจายมักทำหน้าที่เป็นพื้นฐานสำหรับระบบ
1 - MSTU MIREA รองศาสตราจารย์ภาควิชาความมั่นคงสารสนเทศ
2 - มหาวิทยาลัยวิทยุอิเล็กทรอนิกส์และระบบอัตโนมัติแห่งรัฐมอสโก (MSTU MIREA) นักศึกษา
RaaYa เนื่องจากโครงสร้างกริดของทรัพยากรเครือข่ายให้ความสามารถในการขยายขนาดที่ยืดหยุ่นและการรวมทรัพยากรที่จำเป็น โครงสร้างพื้นฐานเป็นบริการ (IaaS) - เซิร์ฟเวอร์ พื้นที่เก็บข้อมูล และฮาร์ดแวร์เครือข่ายมีให้เป็นบริการ ฮาร์ดแวร์โครงสร้างพื้นฐานนี้มักเป็นแบบเวอร์ช่วลไลซ์ ดังนั้นซอฟต์แวร์เวอร์ช่วลไลเซชั่น การจัดการ และระบบปฏิบัติการ จึงเป็นองค์ประกอบของไอทีเช่นกัน
รูปแบบการใช้งานสี่แบบ
คลาวด์ส่วนตัวมีไว้สำหรับการใช้งานเฉพาะขององค์กรเดียว และโดยทั่วไปจะมีการควบคุม จัดการ และโฮสต์โดยศูนย์ข้อมูลส่วนตัว การโฮสต์และการจัดการคลาวด์ส่วนตัวสามารถว่าจ้างผู้ให้บริการภายนอกได้ แต่บ่อยครั้ง
คลาวด์ใหม่ยังคงเป็นการใช้งานเฉพาะขององค์กรเดียว คลาวด์สาธารณะถูกใช้โดยหลายองค์กร (ผู้ใช้) ร่วมกัน ดูแลและจัดการโดยผู้ให้บริการภายนอก
กลุ่มคลาวด์ถูกใช้โดยกลุ่มขององค์กรที่เกี่ยวข้องซึ่งต้องการแชร์สภาพแวดล้อมการประมวลผลบนคลาวด์ทั่วไป ตัวอย่างเช่น กลุ่มอาจประกอบด้วยกองทัพสาขาต่างๆ มหาวิทยาลัยทั้งหมดในภูมิภาคที่กำหนด หรือซัพพลายเออร์ทั้งหมดของผู้ผลิตรายใหญ่
ไฮบริดคลาวด์เกิดขึ้นเมื่อองค์กรใช้ทั้งคลาวด์ส่วนตัวและสาธารณะสำหรับแอปพลิเคชันเดียวกันเพื่อใช้ประโยชน์จากทั้งสองอย่าง ตัวอย่างเช่น ในสถานการณ์ "พายุฝน" องค์กรผู้ใช้ในกรณีของโหลดมาตรฐานในแอปพลิเคชัน
ใช้คลาวด์ส่วนตัว และเมื่อโหลดถึงจุดสูงสุด เช่น เมื่อสิ้นสุดไตรมาสหรือในช่วงเทศกาลวันหยุด ก็จะใช้ศักยภาพของคลาวด์สาธารณะ จากนั้นจึงส่งคืนทรัพยากรเหล่านี้ไปยังแหล่งรวมทั่วไปเมื่อไม่จำเป็น
ในรูป ฉบับที่ 1 นำเสนอโมเดลแนวคิดของคลาวด์คอมพิวติ้งตามเอกสาร “NIST Cloud Computing Reference Architecture” ตามที่แสดงในรูปที่. โมเดล 1 ในมาตรฐานระบุผู้เข้าร่วมหลักในระบบคลาวด์ ได้แก่ ผู้ใช้ระบบคลาวด์ ผู้ให้บริการระบบคลาวด์ ผู้ตรวจสอบระบบคลาวด์ นายหน้าระบบคลาวด์ ตัวกลางระบบคลาวด์ ผู้เข้าร่วมแต่ละรายคือบุคคลหรือองค์กรที่ทำหน้าที่ของตนในการนำไปใช้หรือให้บริการการประมวลผลแบบคลาวด์ ผู้ใช้ระบบคลาวด์คือบุคคลหรือองค์กรที่ดูแลการโต้ตอบทางธุรกิจกับหน่วยงานอื่นๆ
ผู้บริโภคระบบคลาวด์
ผู้ตรวจสอบระบบคลาวด์
C การตรวจสอบ L I ความปลอดภัย J
I. การตรวจสอบความลับของ J
(การตรวจสอบการให้บริการของเจ
ผู้ให้บริการคลาวด์
ระดับที่ซับซ้อน
ระดับผู้ใช้
^ บริการเป็นบริการ ^ ^ แพลตฟอร์มเป็นบริการ ^ โครงสร้างพื้นฐานเป็นบริการ)
ระดับนามธรรม
ชั้นทางกายภาพ
บริการคลาวด์
^ J รองรับ ^ J การตั้งค่า
การพกพา
นายหน้าคลาวด์
ตัวกลางคลาวด์
ข้าว. 1. โมเดลเชิงแนวคิดที่พัฒนาโดยผู้เชี่ยวชาญของ NIST
เครือข่ายและใช้บริการจากผู้ให้บริการคลาวด์ ผู้ให้บริการคลาวด์คือบุคคล องค์กร หรือใครก็ตามที่รับผิดชอบในการให้บริการแก่ผู้บริโภคที่สนใจ ผู้ตรวจสอบระบบคลาวด์คือผู้เข้าร่วมที่สามารถดำเนินการประเมินบริการระบบคลาวด์ บริการ และความปลอดภัยของการใช้งานระบบคลาวด์ได้อย่างอิสระ นายหน้าคลาวด์คือผู้เข้าร่วมที่จัดการการใช้งาน ประสิทธิภาพ และการส่งมอบบริการคลาวด์ให้กับผู้บริโภค และเจรจาปฏิสัมพันธ์ระหว่างผู้ให้บริการคลาวด์และผู้บริโภคคลาวด์ ตัวกลางคลาวด์เป็นตัวกลางที่ให้การสื่อสารและการส่งมอบบริการคลาวด์ระหว่างผู้ให้บริการคลาวด์และผู้ใช้คลาวด์
ข้อดีและความท้าทายของการประมวลผลแบบคลาวด์
การสำรวจล่าสุดของผู้เชี่ยวชาญในสาขาเทคโนโลยีไอทีแสดงให้เห็นว่าการประมวลผลแบบคลาวด์มีข้อได้เปรียบหลักสองประการเมื่อจัดระเบียบบริการแบบกระจาย - ความเร็วและต้นทุน ด้วยการเข้าถึงแหล่งรวมทรัพยากรการประมวลผลแบบออฟไลน์ ผู้ใช้สามารถเข้าร่วมกระบวนการที่สนใจได้ในเวลาไม่กี่นาที แทนที่จะใช้เวลาเป็นสัปดาห์หรือเป็นเดือน ดังที่เคยเป็นมา ความสามารถในการประมวลผลที่เปลี่ยนแปลงไปนั้นรวดเร็วด้วยสถาปัตยกรรมกริดที่ปรับขนาดได้อย่างยืดหยุ่นของสภาพแวดล้อมการประมวลผล เนื่องจากในคลาวด์คอมพิวติ้งผู้ใช้จ่ายเฉพาะสิ่งที่พวกเขาใช้ และความสามารถในการปรับขนาดและระบบอัตโนมัติถึงระดับสูง อัตราส่วนของต้นทุนและประสิทธิภาพของบริการที่ให้จึงเป็นปัจจัยที่น่าสนใจมากสำหรับผู้เข้าร่วมทุกคนในกระบวนการแลกเปลี่ยน
แบบสำรวจเดียวกันนี้แสดงให้เห็นว่ามีข้อพิจารณาที่จริงจังหลายประการที่กำลังขัดขวางบางบริษัทจากการเปลี่ยนไปใช้ระบบคลาวด์ ท่ามกลางข้อพิจารณาเหล่านี้ ปัญหาด้านความปลอดภัยบนคลาวด์ยังมีประเด็นสำคัญอยู่มาก
เพื่อประเมินความปลอดภัยในระบบคลาวด์อย่างเพียงพอ ควรศึกษามุมมองของผู้เล่นในตลาดหลักเกี่ยวกับภัยคุกคามในพื้นที่นี้ เราจะเปรียบเทียบแนวทางที่มีอยู่กับภัยคุกคามในระบบคลาวด์ ซึ่งนำเสนอในแผนงานมาตรฐานคอมพิวเตอร์คลาวด์ของ NIST กับแนวทางที่นำเสนอโดย IBM, Oracle และ VmWare
มาตรฐานความปลอดภัยบนคลาวด์ของสถาบันมาตรฐานแห่งชาติสหรัฐอเมริกา
แผนงานมาตรฐานคอมพิวเตอร์ระบบคลาวด์ของ NIST ซึ่งนำมาใช้โดย NIST ครอบคลุมประเภทของการโจมตีบริการคอมพิวเตอร์ระบบคลาวด์ที่เป็นไปได้:
♦ การประนีประนอมของการรักษาความลับและความพร้อมของข้อมูลที่ส่งโดยผู้ให้บริการคลาวด์
♦ การโจมตีที่มาจากโครงสร้างและความสามารถของสภาพแวดล้อมการประมวลผลแบบคลาวด์เพื่อเพิ่มและเพิ่มความเสียหายจากการโจมตี
♦ การเข้าถึงของผู้บริโภคโดยไม่ได้รับอนุญาต (ผ่านการรับรองความถูกต้องหรือการอนุญาตที่ไม่ถูกต้อง หรือช่องโหว่ที่เกิดขึ้นจากการบำรุงรักษาเป็นระยะ) ไปยังซอฟต์แวร์ ข้อมูล และทรัพยากรที่ใช้โดยผู้ใช้บริการคลาวด์ที่ได้รับอนุญาต
♦ การเพิ่มขึ้นของระดับการโจมตีเครือข่าย เช่น DoS การใช้ประโยชน์จากซอฟต์แวร์ การพัฒนาซึ่งไม่ได้คำนึงถึงรูปแบบภัยคุกคามสำหรับทรัพยากรอินเทอร์เน็ตแบบกระจาย เช่นเดียวกับช่องโหว่ในทรัพยากรที่สามารถเข้าถึงได้จากเครือข่ายส่วนตัว
♦ ความสามารถที่จำกัดสำหรับการเข้ารหัสข้อมูลในสภาพแวดล้อมที่มีผู้เข้าร่วมจำนวนมาก
♦ ความสามารถในการพกพาอันเป็นผลมาจากการใช้ API ที่ไม่ได้มาตรฐานซึ่งทำให้ผู้บริโภคระบบคลาวด์โยกย้ายไปยังผู้ให้บริการคลาวด์รายใหม่ได้ยากเมื่อไม่เป็นไปตามข้อกำหนดด้านความพร้อมใช้งาน
♦ การโจมตีที่ใช้ประโยชน์จากนามธรรมทางกายภาพของทรัพยากรคลาวด์ และใช้ประโยชน์จากข้อบกพร่องในบันทึกและขั้นตอนการตรวจสอบ
♦ การโจมตีเครื่องเสมือนที่ไม่ได้รับการอัพเดตตาม;
♦ การโจมตีที่ใช้ประโยชน์จากความไม่สอดคล้องกันในนโยบายความปลอดภัยระดับโลกและส่วนตัว
มาตรฐานยังระบุงานด้านความปลอดภัยหลักสำหรับการประมวลผลแบบคลาวด์:
♦ ปกป้องข้อมูลผู้ใช้จากการเข้าถึง การเปิดเผย การดัดแปลง หรือการดูโดยไม่ได้รับอนุญาต; หมายถึงการสนับสนุนบริการระบุตัวตนในลักษณะที่ผู้บริโภคมีความสามารถในการปฏิบัติตามนโยบายการระบุตัวตนและการควบคุมการเข้าถึงสำหรับผู้ใช้ที่ได้รับอนุญาตซึ่งสามารถเข้าถึงบริการคลาวด์ วิธีการนี้แสดงถึงความสามารถของผู้บริโภคในการเข้าถึงข้อมูลของเขาโดยเลือกให้กับผู้ใช้รายอื่น
♦ การป้องกันภัยคุกคามจากห่วงโซ่อุปทาน; รวมถึงการยืนยันระดับความน่าเชื่อถือและความน่าเชื่อถือของผู้ให้บริการในขอบเขตเดียวกับระดับความน่าเชื่อถือของซอฟต์แวร์และฮาร์ดแวร์ที่ใช้
♦ ป้องกันการเข้าถึงทรัพยากรคอมพิวเตอร์ระบบคลาวด์โดยไม่ได้รับอนุญาต; รวมถึงการสร้างโดเมนที่ปลอดภัยซึ่งแยกออกจากทรัพยากรในทางตรรกะ (เช่น การแยกปริมาณงานที่ทำงานบนเซิร์ฟเวอร์จริงเดียวกันทางตรรกะผ่านไฮเปอร์ไวเซอร์ในสภาพแวดล้อมที่มีผู้เช่าหลายราย) และใช้การกำหนดค่าเริ่มต้นที่ปลอดภัย
♦ การพัฒนาแอปพลิเคชันเว็บที่ใช้งานในระบบคลาวด์สำหรับรูปแบบภัยคุกคามของทรัพยากรอินเทอร์เน็ตแบบกระจายและการฝังฟังก์ชันความปลอดภัยลงในกระบวนการพัฒนาซอฟต์แวร์
♦ ปกป้องอินเทอร์เน็ตเบราว์เซอร์จากการโจมตีเพื่อลดช่องโหว่ด้านความปลอดภัยของผู้ใช้ปลายทาง รวมถึงการใช้มาตรการเพื่อปกป้องการเชื่อมต่ออินเทอร์เน็ตของคอมพิวเตอร์ส่วนบุคคลผ่านการใช้ซอฟต์แวร์ที่ปลอดภัย ไฟร์วอลล์ และการติดตั้งการอัพเดตเป็นระยะ
♦ การใช้งานเทคโนโลยีการควบคุมการเข้าถึงและการตรวจจับการบุกรุก
ร่วมกับผู้ให้บริการระบบคลาวด์และดำเนินการประเมินอิสระเพื่อตรวจสอบความพร้อมใช้งาน รวมถึงแต่ไม่จำกัดเพียงมาตรการรักษาความปลอดภัยขอบเขตแบบดั้งเดิมที่รวมกับโมเดลความปลอดภัยของโดเมน การรักษาความปลอดภัยขอบเขตแบบดั้งเดิมรวมถึงการจำกัดการเข้าถึงทางกายภาพไปยังเครือข่ายและอุปกรณ์ การปกป้องส่วนประกอบแต่ละส่วนจากการใช้ประโยชน์โดยการปรับใช้การอัปเดต การตั้งค่าความปลอดภัยส่วนใหญ่เป็นค่าเริ่มต้น การปิดใช้งานพอร์ตและบริการที่ไม่ได้ใช้ทั้งหมด การใช้การควบคุมการเข้าถึงตามบทบาท ตรวจสอบบันทึกการตรวจสอบ การลดสิทธิ์ที่ใช้ให้เหลือน้อยที่สุด การใช้แพ็คเกจป้องกันไวรัสและการเชื่อมต่อที่เข้ารหัส
♦ การกำหนดขอบเขตที่เชื่อถือได้ระหว่างผู้ให้บริการและผู้บริโภคเพื่อให้แน่ใจว่าความรับผิดชอบที่ได้รับอนุญาตในการรักษาความปลอดภัยมีความชัดเจน
♦ รองรับการพกพา ดำเนินการเพื่อให้ผู้บริโภคมีโอกาสเปลี่ยนผู้ให้บริการคลาวด์ในกรณีที่เขาจำเป็นต้องปฏิบัติตามข้อกำหนดด้านความสมบูรณ์ ความพร้อมใช้งาน และการรักษาความลับ ซึ่งรวมถึงความสามารถในการปิดบัญชีในขณะนี้และคัดลอกข้อมูลจากผู้ให้บริการรายหนึ่งไปยังอีกรายหนึ่ง
ดังนั้น แผนงานมาตรฐานคอมพิวเตอร์คลาวด์ของ NIST ซึ่ง NIST นำมาใช้ จะกำหนดรายการพื้นฐานของการโจมตีบนระบบคลาวด์และรายการงานหลักที่ควร
ได้รับการแก้ไขผ่านแอปพลิเคชัน
มาตรการที่เหมาะสม
ให้เรากำหนดภัยคุกคามต่อความปลอดภัยของข้อมูลของระบบคลาวด์:
♦ U1 - ภัยคุกคาม (การประนีประนอม ความพร้อมใช้งาน ฯลฯ...) ต่อข้อมูล
♦ U2 - ภัยคุกคามที่สร้างขึ้นโดยคุณสมบัติเชิงโครงสร้างและความสามารถของสถาปัตยกรรมสำหรับการนำการคำนวณแบบกระจายไปใช้
♦ U4 - ภัยคุกคามที่เกี่ยวข้องกับรูปแบบภัยคุกคามที่ไม่ถูกต้อง
♦ U5 - ภัยคุกคามที่เกี่ยวข้องกับการใช้การเข้ารหัสที่ไม่ถูกต้อง (จำเป็นต้องใช้การเข้ารหัสในสภาพแวดล้อมที่มีสตรีมข้อมูลหลายรายการ)
♦ U6 - ภัยคุกคามที่เกี่ยวข้องกับการใช้ API ที่ไม่ได้มาตรฐานในระหว่างการพัฒนา
♦ U7 - ภัยคุกคามการจำลองเสมือน;
♦ U8 - ภัยคุกคามที่ใช้ประโยชน์จากความไม่สอดคล้องกันในนโยบายความปลอดภัยทั่วโลก
มุมมองของ IBM เกี่ยวกับปัญหาด้านความปลอดภัยบนคลาวด์
คำแนะนำด้านความปลอดภัยบนคลาวด์ คำแนะนำของ IBM สำหรับการใช้งานความปลอดภัยบนคลาวด์ช่วยให้เราสามารถสรุปเกี่ยวกับมุมมองด้านความปลอดภัยที่พัฒนาโดยผู้เชี่ยวชาญของ IBM จากเอกสารนี้ เราสามารถขยายรายการภัยคุกคามที่เสนอก่อนหน้านี้ได้ กล่าวคือ:
♦ U9 - ภัยคุกคามที่เกี่ยวข้องกับการเข้าถึงทรัพยากร/ระบบทางกายภาพของบุคคลที่สาม
♦ U10 - ภัยคุกคามที่เกี่ยวข้องกับการกำจัดข้อมูลส่วนบุคคลอย่างไม่ถูกต้อง (วงจรชีวิต)
♦ U11 - ภัยคุกคามที่เกี่ยวข้องกับการละเมิดกฎหมายระดับภูมิภาค ระดับประเทศ และระดับนานาชาติที่เกี่ยวข้องกับข้อมูลที่ประมวลผล
IBM, Oracle และ VmWare เข้าใกล้การรักษาความปลอดภัยของการประมวลผลบนคลาวด์
เอกสารที่บริษัทเหล่านี้มอบให้และการอธิบายมุมมองเกี่ยวกับการรับรองความปลอดภัยในระบบของพวกเขาไม่ได้ให้ภัยคุกคามโดยพื้นฐานที่แตกต่างไปจากที่กล่าวมาข้างต้น
ในตาราง ตารางที่ 1 แสดงประเภทช่องโหว่หลักที่กำหนดโดยบริษัทต่างๆ ในผลิตภัณฑ์ของตน โต๊ะ เวอร์ชัน 1 ช่วยให้เราเห็นการขาดความครอบคลุมภัยคุกคามที่สมบูรณ์ระหว่างบริษัทต่างๆ ที่ศึกษาและกำหนด “แกนหลักภัยคุกคาม” ที่สร้างขึ้นโดยบริษัทต่างๆ ในระบบคลาวด์ของตน:
♦ ภัยคุกคามต่อข้อมูล;
♦ ภัยคุกคามตามโครงสร้าง\ความสามารถของการประมวลผลแบบกระจาย;
♦ ภัยคุกคามที่เกี่ยวข้องกับรูปแบบภัยคุกคามที่ไม่ถูกต้อง;
♦ ภัยคุกคามการจำลองเสมือน
บทสรุป
การทบทวนคลาสหลักของช่องโหว่แพลตฟอร์มคลาวด์ช่วยให้เราสรุปได้ว่าขณะนี้ยังไม่มีโซลูชันสำเร็จรูปสำหรับการป้องกันคลาวด์เต็มรูปแบบ เนื่องจากมีการโจมตีที่หลากหลายที่ใช้ประโยชน์จากช่องโหว่เหล่านี้
ควรสังเกตว่าตารางที่สร้างขึ้นของประเภทช่องโหว่ (ตารางที่ 1) บูรณาการแนวทางของผู้นำ
ตารางที่ 1. คลาสช่องโหว่
แหล่งที่มา ประกาศภัยคุกคาม
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + - - -
ไอบีเอ็ม + + + + + - + - + + +
ซัน/ออราเคิล + + + + - - + - - + -
วีเอ็มแวร์ + + + + - - + - - - -
อุตสาหกรรมของผู้เล่นนี้ไม่ได้จำกัดอยู่เพียงภัยคุกคามที่นำเสนอเท่านั้น ตัวอย่างเช่น ไม่ได้สะท้อนถึงภัยคุกคามที่เกี่ยวข้องกับการเบลอขอบเขตระหว่างสภาพแวดล้อมที่มีระดับการรักษาความลับของข้อมูลต่างกัน รวมถึงการเบลอขอบเขตความรับผิดชอบด้านความปลอดภัยของข้อมูลระหว่างผู้ใช้บริการและผู้ให้บริการคลาวด์
เห็นได้ชัดว่าในการใช้งานระบบคลาวด์ที่ซับซ้อน จะต้องพัฒนาการป้องกันสำหรับการใช้งานเฉพาะ สิ่งสำคัญอีกประการสำหรับการนำการประมวลผลที่ปลอดภัยไปใช้งานในสภาพแวดล้อมเสมือนก็คือการขาดมาตรฐาน FSTEC และ FSB สำหรับระบบคลาวด์ “แก่นแท้ของภัยคุกคาม” ที่ระบุในงานนี้เหมาะสมที่จะใช้ในการศึกษา
การแก้ปัญหาการสร้างแบบจำลองคลาสช่องโหว่แบบครบวงจร บทความนี้มีลักษณะเป็นการทบทวน ในอนาคต มีการวางแผนที่จะวิเคราะห์รายละเอียดประเภทของภัยคุกคามที่เกี่ยวข้องกับการจำลองเสมือน และพัฒนาแนวทางในการสร้างระบบการป้องกันที่อาจป้องกันการดำเนินการของภัยคุกคามเหล่านี้
วรรณกรรม
1. คำแนะนำด้านความปลอดภัยของคลาวด์ IBM Recommendations for the Implementation of Cloud Security, ibm.com/redbooks, 2 พฤศจิกายน 2009
2. http://www.vmware.com/technical-resources/security/index.html
3. นิสท์ คลาวด์ สถาปัตยกรรมอ้างอิงคอมพิวเตอร์ สถาบันมาตรฐานแห่งชาติ และ เทคโนโลยี สิ่งพิมพ์พิเศษ. 500-292 กันยายน 2554
4. นิสท์ คลาวด์ แผนงานมาตรฐานคอมพิวเตอร์ สถาบันมาตรฐานแห่งชาติ และ เทคโนโลยี สิ่งพิมพ์พิเศษ. 500-291 กรกฎาคม 2554
5. http://www.oracle.com/technetwork/indexes/documentation/index.html
เมื่อ Eric Schmit ซึ่งปัจจุบันเป็นหัวหน้าของ Google ใช้คำว่า "คลาวด์" เป็นครั้งแรกโดยเกี่ยวข้องกับระบบคอมพิวเตอร์เว็บแบบกระจาย เขาแทบไม่รู้เลยว่ามันเป็นหนึ่งในคำเหล่านั้นที่มักปรากฏในตำนาน ในตำนานเกือบทั้งหมดของชนชาติต่างๆ ของโลก สิ่งมีชีวิตศักดิ์สิทธิ์อาศัยอยู่ใกล้ท้องฟ้ามาก - บนเมฆ ด้วยเหตุนี้ คำว่า "การประมวลผลแบบคลาวด์" จึงเป็นที่ชื่นชอบในหมู่นักการตลาด เนื่องจากเป็นการเปิดพื้นที่สำหรับความคิดสร้างสรรค์ นอกจากนี้เรายังพยายามอธิบายความเชื่อผิด ๆ เหล่านี้และทำความเข้าใจว่าสิ่งเหล่านี้ผสมผสานกับไอทีได้อย่างไร
ความตายของเมอร์ลิน
หนึ่งในตัวละครในวงจรแห่งตำนานเกี่ยวกับกษัตริย์อาเธอร์และโต๊ะกลมของเขาคือนักมายากลและพ่อมดเมอร์ลิน ผู้ช่วยอาเธอร์ในรัชสมัยของเขา เป็นเรื่องสำคัญที่เมอร์ลินถูกขังอยู่ในก้อนเมฆ เขาต้องการแสดงให้แม่มดสาวและแสดงพลังเวทย์มนตร์ของเขา เขาจึงสร้างปราสาทจากก้อนเมฆและเชิญชวนให้ความหลงใหลของเขามาสำรวจดู อย่างไรก็ตาม แม่มดกลับกลายเป็นเจ้าเล่ห์และกักขังนักมายากลไว้ในปราสาทเมฆของตัวเอง หลังจากนั้นไม่มีใครเห็นเมอร์ลิน ดังนั้นจึงเชื่อกันว่าเขาเสียชีวิตที่ไหนสักแห่งที่นั่น - ในปราสาทเมฆที่เขาสร้างขึ้นเอง
ตอนนี้ "พ่อมดด้านไอที" ได้สร้างตำนานทั้งหมดเกี่ยวกับการคำนวณแบบกระจาย ดังนั้นเพื่อที่จะไม่ถูกคุมขังใน "ปราสาท" เหล่านี้ คุณควรเข้าใจก่อนว่าคลาวด์เหล่านี้คืออะไร นั่นคือเพื่อแยกการตลาดออกจากชิ้นเล็กชิ้นน้อย
เริ่มแรกมีเมฆเพียงก้อนเดียว - เป็นสัญลักษณ์นี้ซึ่งแสดงถึงอินเทอร์เน็ตตามธรรมเนียม คลาวด์นี้แสดงถึงการรวบรวมคอมพิวเตอร์ทุกเครื่องที่เชื่อมต่อด้วยโปรโตคอล IP และมีที่อยู่ IP ของตัวเอง เมื่อเวลาผ่านไป เซิร์ฟเวอร์ฟาร์มเริ่มได้รับการจัดสรรให้กับอินเทอร์เน็ต ซึ่งได้รับการติดตั้งโดยผู้ให้บริการและตามโครงการเว็บใด ในเวลาเดียวกัน เพื่อให้มั่นใจถึงโหลดและความทนทานต่อข้อผิดพลาดที่สูง ระบบเว็บที่ใหญ่ที่สุดจึงกลายเป็นระบบหลายระดับและกระจายออกไป
ในระบบทั่วไป ระดับต่อไปนี้สามารถแยกแยะได้: พร็อกซีย้อนกลับ ซึ่งยังทำหน้าที่เป็นโหลดบาลานเซอร์และตัวถอดรหัส SSL เว็บเซิร์ฟเวอร์เอง จากนั้นเซิร์ฟเวอร์แอปพลิเคชัน DBMS และระบบจัดเก็บข้อมูล นอกจากนี้ ในแต่ละระดับอาจมีองค์ประกอบหลายอย่างที่ทำหน้าที่เดียวกัน ดังนั้นจึงไม่ชัดเจนเสมอไปว่าส่วนประกอบใดถูกใช้ในการประมวลผลคำขอของผู้ใช้ และเมื่อไม่ชัดเจน สิ่งเหล่านี้ก็คือเมฆ ดังนั้นพวกเขาจึงเริ่มบอกว่าคำขอของผู้ใช้ได้รับการดำเนินการที่ไหนสักแห่งใน "คลาวด์" จากเซิร์ฟเวอร์จำนวนมาก จึงเป็นที่มาของคำว่า "การประมวลผลแบบคลาวด์"
แม้ว่าการประมวลผลแบบคลาวด์ในขั้นต้นจะเชื่อมโยงกับโครงการเว็บที่เปิดเผยต่อสาธารณะ - พอร์ทัลเนื่องจากระบบเว็บที่ทนต่อข้อผิดพลาดแบบกระจายได้รับการพัฒนา แต่ก็เริ่มถูกนำมาใช้เพื่อแก้ไขปัญหาภายในองค์กร เป็นช่วงเวลาแห่งความเจริญสำหรับพอร์ทัลขององค์กรซึ่งใช้เทคโนโลยีเว็บที่พัฒนาขึ้นในระบบสาธารณะ ในเวลาเดียวกัน ระบบขององค์กรเริ่มรวมเข้ากับศูนย์ข้อมูลที่ง่ายต่อการบำรุงรักษาและถูกกว่า
อย่างไรก็ตาม การจัดสรรเซิร์ฟเวอร์แยกต่างหากสำหรับแต่ละองค์ประกอบของคลาวด์จะไม่มีประสิทธิภาพ - องค์ประกอบทั้งหมดของคลาวด์ไม่ได้โหลดเท่ากัน ดังนั้นอุตสาหกรรมการจำลองเสมือนจึงเริ่มพัฒนาไปพร้อมๆ กัน ในระบบคลาวด์สาธารณะ ได้รับความนิยมค่อนข้างมาก เนื่องจากทำให้สามารถแยกแยะสิทธิ์การเข้าถึงได้ และรับประกันการถ่ายโอนองค์ประกอบของระบบแบบกระจายไปยังสื่อฮาร์ดแวร์อื่นได้อย่างรวดเร็ว หากไม่มีการจำลองเสมือน การประมวลผลแบบคลาวด์จะมีไดนามิกและปรับขนาดได้น้อยลง ซึ่งเป็นเหตุผลว่าทำไมระบบคลาวด์จึงมักประกอบด้วยเครื่องเสมือน
การประมวลผลแบบคลาวด์ส่วนใหญ่เกี่ยวข้องกับการเช่าแอปพลิเคชัน โดยกำหนดบริการดังกล่าวสามประเภท: IaaS - โครงสร้างพื้นฐานเป็นบริการ, PaaS - แพลตฟอร์มเป็นบริการ และ SaaS - ซอฟต์แวร์เป็นบริการ บางครั้งบริการ "ความปลอดภัยเป็นบริการ" ก็สั้นลงเป็น SaaS อย่างไรก็ตามเพื่อไม่ให้สับสนกับบริการรักษาความปลอดภัยบนคลาวด์กับการเช่าซอฟต์แวร์ จะเป็นการดีกว่าที่จะเรียกมันว่า ISAAC - ความปลอดภัยของข้อมูลในฐานะคลาวด์ การบริการดังกล่าวก็เริ่มมีให้เช่นกัน อย่างไรก็ตาม ไม่ควรสับสนระหว่างแอปพลิเคชันเอาท์ซอร์สกับการประมวลผลบนคลาวด์ เนื่องจากคลาวด์อาจเป็นแบบภายใน สาธารณะ และแบบไฮบริด คลาวด์แต่ละประเภทเหล่านี้มีลักษณะเฉพาะของตัวเองเมื่อจัดระบบรักษาความปลอดภัย
พระวิษณุสามก้าว
พระเจ้าวิษณุในตำนานเทพเจ้าฮินดูมีชื่อเสียงในความจริงที่ว่าพระองค์เป็นผู้พิชิตพื้นที่สำหรับชีวิตมนุษย์ด้วยความช่วยเหลือของสามขั้นตอน: ขั้นแรกถูกสร้างขึ้นบนโลก, ขั้นที่สองในเมฆ, และขั้นที่สามในที่พำนักสูงสุด ตามฤคพระเวท พระวิษณุทรงชนะพื้นที่ทั้งหมดนี้เพื่อผู้คนด้วยการกระทำนี้
ไอทียุคใหม่กำลังมี “ก้าวที่สอง” ที่คล้ายกัน ตั้งแต่ระดับพื้นดินจนถึงกลุ่มเมฆ อย่างไรก็ตาม เพื่อไม่ให้ตกลงมาจากเมฆเหล่านี้ในขณะที่ยังอยู่บนโลก คุณควรดูแลความปลอดภัย ในส่วนแรก ฉันตรวจสอบโครงสร้างของคลาวด์โดยละเอียดเพื่อให้ชัดเจนว่ามีภัยคุกคามใดบ้างสำหรับการประมวลผลแบบคลาวด์ จากที่กล่าวมาข้างต้น ควรแยกแยะประเภทของภัยคุกคามต่อไปนี้:
การโจมตีซอฟต์แวร์แบบดั้งเดิม- สิ่งเหล่านี้เกี่ยวข้องกับช่องโหว่ของโปรโตคอลเครือข่าย ระบบปฏิบัติการ ส่วนประกอบแบบแยกส่วน และอื่นๆ สิ่งเหล่านี้เป็นภัยคุกคามแบบดั้งเดิม เพื่อป้องกันการติดตั้งโปรแกรมป้องกันไวรัส ไฟร์วอลล์ IPS และส่วนประกอบอื่น ๆ ที่กล่าวถึงก็เพียงพอแล้ว สิ่งสำคัญคือเครื่องมือป้องกันเหล่านี้ได้รับการปรับให้เข้ากับโครงสร้างพื้นฐานระบบคลาวด์และทำงานอย่างมีประสิทธิภาพในสภาวะการจำลองเสมือน
การโจมตีเชิงฟังก์ชันกับองค์ประกอบคลาวด์- การโจมตีประเภทนี้เกี่ยวข้องกับการแบ่งชั้นของคลาวด์ ซึ่งเป็นหลักการรักษาความปลอดภัยทั่วไปที่ว่าการป้องกันโดยรวมของระบบจะเท่ากับการป้องกันจุดอ่อนที่สุด ดังนั้น การโจมตี DoS ที่ประสบความสำเร็จบน Reverse Proxy ที่ติดตั้งด้านหน้าคลาวด์จะบล็อกการเข้าถึงคลาวด์ทั้งหมด แม้ว่าการสื่อสารทั้งหมดภายในคลาวด์จะทำงานโดยไม่มีการรบกวนก็ตาม ในทำนองเดียวกัน การแทรก SQL ที่ส่งผ่านแอปพลิเคชันเซิร์ฟเวอร์จะทำให้สามารถเข้าถึงข้อมูลระบบได้ โดยไม่คำนึงถึงกฎการเข้าถึงในเลเยอร์การจัดเก็บข้อมูล เพื่อป้องกันการโจมตีเชิงฟังก์ชัน สำหรับแต่ละเลเยอร์ของระบบคลาวด์ คุณต้องใช้เครื่องมือป้องกันเฉพาะสำหรับพร็อกซี - การป้องกันการโจมตี DoS สำหรับเว็บเซิร์ฟเวอร์ - การควบคุมความสมบูรณ์ของเพจ สำหรับแอปพลิเคชันเซิร์ฟเวอร์ - หน้าจอระดับแอปพลิเคชัน สำหรับเลเยอร์ DBMS - การป้องกัน SQL - การฉีด สำหรับระบบจัดเก็บข้อมูล - การสำรองข้อมูลและการควบคุมการเข้าถึง แต่ละกลไกการป้องกันเหล่านี้ได้ถูกสร้างขึ้นแล้ว แต่จะไม่ได้รวบรวมเข้าด้วยกันเพื่อปกป้องคลาวด์อย่างครอบคลุม ดังนั้นงานในการบูรณาการให้เป็นระบบเดียวจะต้องได้รับการแก้ไขในระหว่างการสร้างคลาวด์
การโจมตีลูกค้า- การโจมตีประเภทนี้ได้รับการพัฒนาในสภาพแวดล้อมของเว็บ แต่ก็เกี่ยวข้องกับคลาวด์เช่นกัน เนื่องจากไคลเอนต์เชื่อมต่อกับคลาวด์ ซึ่งโดยปกติจะใช้เบราว์เซอร์ รวมถึงการโจมตีเช่น Cross Site Scripting (XSS), การไฮแจ็กเซสชันเว็บ, การขโมยรหัสผ่าน, “คนตรงกลาง” และอื่นๆ การป้องกันการโจมตีเหล่านี้โดยดั้งเดิมแล้วเป็นการตรวจสอบสิทธิ์ที่แข็งแกร่งและการใช้การเชื่อมต่อที่เข้ารหัสพร้อมการตรวจสอบความถูกต้องร่วมกัน แต่ไม่ใช่ว่าผู้สร้างระบบคลาวด์ทุกคนจะยอมให้วิธีที่สิ้นเปลืองและตามกฎแล้วไม่ใช่วิธีการป้องกันที่สะดวกนัก ดังนั้นในด้านความปลอดภัยของข้อมูลนี้ยังคงมีปัญหาและพื้นที่สำหรับการสร้างวิธีการป้องกันแบบใหม่ที่ยังไม่ได้รับการแก้ไข
ภัยคุกคามการจำลองเสมือน- เนื่องจากแพลตฟอร์มสำหรับส่วนประกอบคลาวด์แต่เดิมเป็นสภาพแวดล้อมเสมือนจริง การโจมตีระบบเสมือนจริงจึงคุกคามระบบคลาวด์ทั้งหมดโดยรวมด้วย ภัยคุกคามประเภทนี้มีลักษณะเฉพาะสำหรับการประมวลผลแบบคลาวด์ ดังนั้นเราจะดูรายละเอียดด้านล่างนี้ โซลูชั่นสำหรับภัยคุกคามเวอร์ช่วลไลเซชั่นบางอย่างกำลังเริ่มปรากฏให้เห็น แต่อุตสาหกรรมนี้ค่อนข้างใหม่ ดังนั้นจึงยังไม่มีการพัฒนาโซลูชั่นที่เป็นที่ยอมรับ มีความเป็นไปได้ค่อนข้างมากที่ตลาดความปลอดภัยของข้อมูลจะพัฒนาวิธีการป้องกันภัยคุกคามประเภทนี้ในไม่ช้า
ภัยคุกคามที่ซับซ้อนต่อเมฆ- การควบคุมและการจัดการบนคลาวด์ก็เป็นปัญหาด้านความปลอดภัยเช่นกัน วิธีตรวจสอบให้แน่ใจว่าทรัพยากรคลาวด์ทั้งหมดถูกนับ และไม่มีเครื่องเสมือนที่ไม่สามารถควบคุมได้ ไม่มีการรันกระบวนการทางธุรกิจที่ไม่จำเป็น และการกำหนดค่าร่วมกันของเลเยอร์และองค์ประกอบคลาวด์จะไม่ถูกรบกวน ภัยคุกคามประเภทนี้เกี่ยวข้องกับความสามารถในการจัดการของระบบคลาวด์ในฐานะระบบข้อมูลเดียวและการค้นหาการละเมิดหรือการละเมิดอื่น ๆ ในการทำงานของระบบคลาวด์ ซึ่งอาจนำไปสู่ค่าใช้จ่ายที่ไม่จำเป็นสำหรับการบำรุงรักษาการทำงานของระบบข้อมูล ตัวอย่างเช่น หากมีคลาวด์ที่ให้คุณตรวจจับไวรัสตามไฟล์ที่ส่งมา แล้วจะป้องกันการโจรกรรมเครื่องตรวจจับดังกล่าวได้อย่างไร? ภัยคุกคามประเภทนี้เป็นภัยคุกคามระดับสูงที่สุด และฉันสงสัยว่าไม่มีวิธีการป้องกันที่เป็นสากล สำหรับคลาวด์แต่ละระบบ การป้องกันโดยรวมจะต้องสร้างแยกกัน โมเดลการจัดการความเสี่ยงทั่วไปส่วนใหญ่ซึ่งยังคงต้องมีการปรับใช้กับโครงสร้างพื้นฐานระบบคลาวด์อย่างถูกต้อง สามารถช่วยได้ในเรื่องนี้
ภัยคุกคามสองประเภทแรกได้รับการศึกษาอย่างเพียงพอแล้ว และได้มีการพัฒนามาตรการป้องกันสำหรับภัยคุกคามเหล่านี้แล้ว แต่ยังต้องมีการปรับเปลี่ยนเพื่อใช้ในระบบคลาวด์ ตัวอย่างเช่น ไฟร์วอลล์ได้รับการออกแบบมาเพื่อปกป้องขอบเขต แต่ในระบบคลาวด์ ไม่ใช่เรื่องง่ายที่จะจัดสรรขอบเขตให้กับไคลเอนต์แต่ละราย ซึ่งทำให้การป้องกันยากขึ้นมาก ดังนั้นจึงจำเป็นต้องปรับเทคโนโลยีไฟร์วอลล์ให้เข้ากับโครงสร้างพื้นฐานคลาวด์ ตัวอย่างเช่น ขณะนี้ Check Point กำลังทำงานอย่างแข็งขันในทิศทางนี้
ภัยคุกคามรูปแบบใหม่สำหรับการประมวลผลแบบคลาวด์คือปัญหาการจำลองเสมือน ความจริงก็คือเมื่อใช้เทคโนโลยีนี้องค์ประกอบเพิ่มเติมจะปรากฏในระบบที่สามารถถูกโจมตีได้ ซึ่งรวมถึงไฮเปอร์ไวเซอร์ ระบบสำหรับถ่ายโอนเครื่องเสมือนจากโหนดหนึ่งไปยังอีกโหนดหนึ่ง และระบบการจัดการเครื่องเสมือน มาดูกันดีกว่าว่าองค์ประกอบใดที่อยู่ในรายการสามารถโจมตีได้
การโจมตีไฮเปอร์ไวเซอร์- องค์ประกอบหลักที่แท้จริงของระบบเสมือนคือไฮเปอร์ไวเซอร์ ซึ่งรับประกันการแบ่งทรัพยากรคอมพิวเตอร์จริงระหว่างเครื่องเสมือน การแทรกแซงการทำงานของไฮเปอร์ไวเซอร์สามารถนำไปสู่ความจริงที่ว่าเครื่องเสมือนเครื่องหนึ่งสามารถเข้าถึงหน่วยความจำและทรัพยากรของอีกเครื่องหนึ่ง ขัดขวางการรับส่งข้อมูลเครือข่าย นำทรัพยากรทางกายภาพออกไป และแม้กระทั่งแทนที่เครื่องเสมือนจากเซิร์ฟเวอร์โดยสิ้นเชิง จนถึงขณะนี้แฮ็กเกอร์เพียงไม่กี่คนที่เข้าใจว่าไฮเปอร์ไวเซอร์ทำงานอย่างไร ดังนั้นจึงแทบไม่มีการโจมตีประเภทนี้ แต่ไม่ได้รับประกันว่าจะไม่ปรากฏในอนาคต
การถ่ายโอนเครื่องเสมือน- ควรสังเกตว่าเครื่องเสมือนเป็นไฟล์ที่สามารถเปิดใช้งานเพื่อดำเนินการบนโหนดคลาวด์ต่างๆ ระบบการจัดการเครื่องเสมือนจัดเตรียมกลไกสำหรับการย้ายเครื่องเสมือนจากโหนดหนึ่งไปยังอีกโหนดหนึ่ง อย่างไรก็ตาม คุณยังสามารถขโมยไฟล์เครื่องเสมือนและลองเรียกใช้งานนอกระบบคลาวด์ได้ เป็นไปไม่ได้ที่จะลบเซิร์ฟเวอร์จริงออกจากศูนย์ข้อมูล แต่เครื่องเสมือนสามารถถูกขโมยผ่านเครือข่ายได้โดยไม่ต้องมีการเข้าถึงเซิร์ฟเวอร์ทางกายภาพ จริงอยู่ เครื่องเสมือนที่แยกจากกันภายนอกคลาวด์ไม่มีคุณค่าในทางปฏิบัติ - คุณต้องขโมยเครื่องเสมือนอย่างน้อยหนึ่งเครื่องจากแต่ละเลเยอร์ รวมถึงข้อมูลจากระบบจัดเก็บข้อมูลเพื่อกู้คืนคลาวด์ที่คล้ายกัน อย่างไรก็ตาม การจำลองเสมือนทำให้สามารถขโมยชิ้นส่วนได้อย่างสมบูรณ์ หรือเมฆทั้งหมด นั่นคือการแทรกแซงกลไกในการถ่ายโอนเครื่องเสมือนสร้างความเสี่ยงใหม่ให้กับระบบข้อมูล
การโจมตีระบบควบคุม- เครื่องเสมือนจำนวนมากที่ใช้ในระบบคลาวด์ โดยเฉพาะอย่างยิ่งในระบบคลาวด์สาธารณะ ต้องการระบบการจัดการที่สามารถควบคุมการสร้าง การโยกย้าย และการกำจัดเครื่องเสมือนได้อย่างน่าเชื่อถือ การรบกวนระบบควบคุมสามารถนำไปสู่ลักษณะของเครื่องเสมือนที่มองไม่เห็น ปิดกั้นเครื่องบางเครื่อง และแทนที่องค์ประกอบที่ไม่ได้รับอนุญาตลงในชั้นคลาวด์ ทั้งหมดนี้ช่วยให้ผู้โจมตีสามารถรับข้อมูลจากคลาวด์หรือจับภาพบางส่วนหรือทั้งคลาวด์ได้
ควรสังเกตว่าขณะนี้ภัยคุกคามทั้งหมดที่ระบุไว้ข้างต้นเป็นเพียงสมมติฐานเท่านั้น เนื่องจากในทางปฏิบัติไม่มีข้อมูลเกี่ยวกับการโจมตีประเภทนี้จริงๆ ในเวลาเดียวกัน เมื่อการจำลองเสมือนและระบบคลาวด์ได้รับความนิยมอย่างมาก การโจมตีทุกประเภทเหล่านี้อาจกลายเป็นจริงได้ ดังนั้นจึงควรคำนึงถึงสิ่งเหล่านี้ในขั้นตอนการออกแบบระบบคลาวด์
เหนือสวรรค์ชั้นเจ็ด
อัครสาวกเปาโลอ้างว่ารู้จักชายคนหนึ่งที่ถูกรับขึ้นไปบนสวรรค์ชั้นที่เจ็ด ตั้งแต่นั้นมา วลี “สวรรค์ชั้นเจ็ด” ก็ได้รับการสถาปนาขึ้นอย่างมั่นคงเพื่อแสดงถึงสวรรค์ อย่างไรก็ตาม ไม่ใช่ว่านักบุญคริสเตียนทุกคนจะได้รับเกียรติให้ไปเยี่ยมชมสวรรค์ชั้นแรกด้วยซ้ำ อย่างไรก็ตาม ไม่มีใครที่ไม่ฝันที่จะได้มองดูสวรรค์ชั้นที่เจ็ดด้วยตาข้างเดียว
บางทีนี่อาจเป็นตำนานที่ทำให้ผู้สร้าง Trend Micro ตั้งชื่อหนึ่งในโปรเจ็กต์การป้องกันคลาวด์ของพวกเขา Cloud Nine - คลาวด์ที่เก้า นี่สูงกว่าที่เจ็ดอย่างเห็นได้ชัด อย่างไรก็ตาม ปัจจุบันมีการตั้งชื่อสิ่งต่าง ๆ มากมายด้วยชื่อนี้: เพลง เรื่องราวนักสืบ เกมคอมพิวเตอร์ แต่ค่อนข้างเป็นไปได้ที่ชื่อนี้ได้รับแรงบันดาลใจจากตำนานคริสเตียนของพอล
อย่างไรก็ตาม จนถึงขณะนี้ Trend Micro เผยแพร่เฉพาะข้อมูลที่ Cloud Nine จะเชื่อมโยงกับการเข้ารหัสข้อมูลในระบบคลาวด์ เป็นการเข้ารหัสข้อมูลที่ช่วยให้คุณสามารถป้องกันภัยคุกคามต่อข้อมูลในระบบคลาวด์สาธารณะได้มากที่สุด ดังนั้นโครงการดังกล่าวจึงได้รับการพัฒนาอย่างแข็งขัน ลองจินตนาการว่าเครื่องมือป้องกันใดที่อาจยังมีประโยชน์ในการลดความเสี่ยงที่อธิบายไว้ข้างต้น
ก่อนอื่น คุณต้องรับรองความถูกต้องที่เชื่อถือได้ของทั้งผู้ใช้คลาวด์และส่วนประกอบต่างๆ ในการดำเนินการนี้ คุณน่าจะใช้ระบบการรับรองความถูกต้องเดี่ยว (SSO) สำเร็จรูปซึ่งใช้ Kerberos และโปรโตคอลการตรวจสอบความถูกต้องของอุปกรณ์ร่วมกัน ถัดไป คุณจะต้องมีระบบการจัดการข้อมูลประจำตัวที่ช่วยให้คุณสามารถกำหนดค่าสิทธิ์การเข้าถึงของผู้ใช้ไปยังระบบต่างๆ โดยใช้การจัดการตามบทบาท แน่นอนว่าคุณจะต้องปรับแต่งการกำหนดบทบาทและสิทธิ์ขั้นต่ำสำหรับแต่ละบทบาท แต่เมื่อตั้งค่าระบบแล้วจะสามารถใช้งานได้ค่อนข้างนาน
เมื่อมีการกำหนดผู้เข้าร่วมทั้งหมดในกระบวนการและสิทธิ์ของพวกเขาแล้ว จำเป็นต้องตรวจสอบการปฏิบัติตามสิทธิ์เหล่านี้และตรวจจับข้อผิดพลาดด้านการบริหาร สิ่งนี้ต้องการระบบประมวลผลเหตุการณ์จากเครื่องมือป้องกันองค์ประกอบคลาวด์และกลไกความปลอดภัยเพิ่มเติม เช่น ไฟร์วอลล์ โปรแกรมป้องกันไวรัส IPS และอื่นๆ จริงอยู่มันคุ้มค่าที่จะใช้ตัวเลือกเหล่านั้นที่สามารถทำงานได้ในสภาพแวดล้อมเสมือนจริงซึ่งจะมีประสิทธิภาพมากกว่า
นอกจากนี้ยังคุ้มค่าที่จะใช้เครื่องฉ้อโกงบางประเภทที่จะช่วยให้คุณสามารถตรวจจับการฉ้อโกงในการใช้คลาวด์นั่นคือลดความเสี่ยงที่ยากที่สุดจากการถูกรบกวนในกระบวนการทางธุรกิจ จริงอยู่ ขณะนี้มีแนวโน้มว่าไม่มีเครื่องฉ้อโกงในตลาดที่จะอนุญาตให้ทำงานกับคลาวด์ได้ อย่างไรก็ตาม เทคโนโลยีสำหรับการตรวจจับกรณีของการฉ้อโกงและการละเมิดได้รับการพัฒนาสำหรับระบบโทรศัพท์แล้ว เนื่องจากระบบการเรียกเก็บเงินจะต้องมีการใช้งานในระบบคลาวด์ เครื่องฉ้อโกงจึงควรเชื่อมต่อกับระบบดังกล่าว ดังนั้นอย่างน้อยจึงสามารถควบคุมภัยคุกคามต่อกระบวนการทางธุรกิจบนคลาวด์ได้เป็นอย่างน้อย
กลไกการป้องกันอื่นใดที่สามารถนำมาใช้เพื่อปกป้องเมฆได้? คำถามยังคงเปิดอยู่ในขณะนี้
ค่าตอบแทนเป็นปัจจัยจูงใจเฉพาะในกรณีที่เกี่ยวข้องโดยตรงกับผลงานเท่านั้น พนักงานจะต้องเชื่อมั่นในความเชื่อมโยงที่มั่นคงระหว่างรางวัลที่เป็นวัสดุที่ได้รับและผลิตภาพแรงงาน เงินเดือนจะต้องมีองค์ประกอบขึ้นอยู่กับผลลัพธ์ที่ได้รับ ความคิดของรัสเซียมีลักษณะเฉพาะคือความปรารถนาที่จะทำงานร่วมกัน การได้รับการยอมรับและความเคารพจากเพื่อนร่วมงาน และอื่นๆ
ในปัจจุบัน เนื่องจากสถานการณ์ทางเศรษฐกิจที่ยากลำบาก การจ่ายค่าจ้างที่สูงจึงเป็นเรื่องยาก ควรให้ความสนใจเป็นพิเศษกับสิ่งจูงใจที่ไม่เป็นรูปธรรม การสร้างระบบสวัสดิการที่ยืดหยุ่นสำหรับพนักงาน แรงงานที่มีมนุษยธรรม รวมถึง:
1. ตระหนักถึงคุณค่าของพนักงานต่อองค์กร มอบอิสระในการสร้างสรรค์แก่เขา
2. ใช้โปรแกรมการเพิ่มคุณค่างานและการหมุนเวียนพนักงาน
3. ใช้ตารางเวลาที่ยืดหยุ่น งานนอกเวลา ความสามารถในการทำงานทั้งในที่ทำงานและที่บ้าน
4. มอบส่วนลดให้กับพนักงานสำหรับผลิตภัณฑ์ที่ผลิตโดยบริษัทที่พวกเขาทำงานให้
5. จัดหาเงินทุนเพื่อการพักผ่อนหย่อนใจ แจกบัตรกำนัลท่องเที่ยวฟรี ออกเงินกู้เพื่อซื้อที่อยู่อาศัย แปลงสวน รถยนต์ และอื่นๆ
ด้านล่างเราจะกำหนดปัจจัยจูงใจขององค์กรการทำงานที่นำไปสู่ความพึงพอใจต่อความต้องการของระดับที่สูงขึ้น
ในที่ทำงานของเขา ทุกคนต้องการแสดงให้เห็นว่าเขามีความสามารถอะไรและมีความหมายต่อผู้อื่นอย่างไร ดังนั้นจึงจำเป็นต้องตระหนักถึงผลลัพธ์ของกิจกรรมของพนักงานคนใดคนหนึ่ง ให้โอกาสในการตัดสินใจในประเด็นต่างๆ ที่อยู่ภายในความสามารถของเขา และให้คำแนะนำแก่พนักงานคนอื่นๆ . ในที่ทำงาน ควรกำหนดโลกทัศน์ของทีมเดี่ยว: กลุ่มนอกระบบที่เกิดขึ้นใหม่ไม่สามารถถูกทำลายได้ เว้นแต่จะสร้างความเสียหายอย่างแท้จริงต่อเป้าหมายขององค์กร
เกือบทุกคนมีมุมมองของตนเองในการปรับปรุงงานของตนเอง อาศัยการสนับสนุนที่น่าสนใจของฝ่ายบริหารโดยไม่ต้องกลัวว่าจะถูกคว่ำบาตรควรจัดระเบียบงานเพื่อให้พนักงานไม่สูญเสียความปรารถนาที่จะตระหนักถึงแผนของเขา ดังนั้นในรูปแบบใดด้วยความเร็วและวิธีที่พนักงานได้รับข้อมูลพวกเขาประเมินความสำคัญที่แท้จริงในสายตาของฝ่ายบริหารดังนั้นจึงเป็นไปไม่ได้ที่จะตัดสินใจเกี่ยวกับการเปลี่ยนแปลงในการทำงานของพนักงานโดยปราศจากความรู้แม้ว่าจะมีการเปลี่ยนแปลงก็ตาม เป็นบวก และยังทำให้เข้าถึงข้อมูลที่จำเป็นได้ยากอีกด้วย
ข้อมูลเกี่ยวกับคุณภาพงานของพนักงานจะต้องรวดเร็ว มีขนาดใหญ่ และทันเวลา พนักงานควรได้รับการควบคุมตนเองในระดับสูงสุดที่เป็นไปได้ คนส่วนใหญ่มุ่งมั่นที่จะได้รับความรู้ใหม่ในกระบวนการทำงาน ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องให้โอกาสผู้ใต้บังคับบัญชาในการเรียนรู้สนับสนุนและพัฒนาความสามารถเชิงสร้างสรรค์ของพวกเขา
ทุกคนมุ่งมั่นเพื่อความสำเร็จ ความสำเร็จคือบรรลุเป้าหมายเพื่อให้บรรลุเป้าหมายที่พนักงานทำทุกวิถีทาง ความสำเร็จที่ปราศจากการยอมรับนำไปสู่ความผิดหวังและทำลายความคิดริเริ่ม สิ่งนี้จะไม่เกิดขึ้นหากผู้ใต้บังคับบัญชาที่ประสบความสำเร็จได้รับการมอบหมายสิทธิและอำนาจเพิ่มเติม และเลื่อนตำแหน่งขึ้นสู่ขั้นบันไดอาชีพ
บทสรุป
ความมีประสิทธิผลของระบบสร้างแรงบันดาลใจอย่างใดอย่างหนึ่งในกิจกรรมภาคปฏิบัติส่วนใหญ่ขึ้นอยู่กับหน่วยงานฝ่ายบริหาร แม้ว่าในช่วงไม่กี่ปีที่ผ่านมามีการดำเนินการตามขั้นตอนบางอย่างเพื่อเพิ่มบทบาทขององค์กรและพัฒนาระบบแรงจูงใจของตนเอง ซึ่งในช่วงเวลาที่กำหนด ทำให้สามารถดำเนินการตามเป้าหมายและวัตถุประสงค์ที่องค์กรต้องเผชิญในเงื่อนไขของความสัมพันธ์ทางการตลาด
ในปัจจุบันนี้แทบจะไม่จำเป็นต้องโน้มน้าวใครก็ตามว่าแรงจูงใจเป็นปัจจัยพื้นฐานในการกระตุ้นให้พนักงานทำงานที่มีประสิทธิผลสูง ในทางกลับกัน การทำงานของระบบแรงจูงใจและการพัฒนานั้นขึ้นอยู่กับพนักงานในเครื่องมือการจัดการเป็นหลัก คุณสมบัติ คุณสมบัติทางธุรกิจ และคุณลักษณะเชิงคุณภาพอื่น ๆ ในเวลาเดียวกัน ทั้งในช่วงก่อนที่รัสเซียจะเปลี่ยนไปสู่ความสัมพันธ์ทางการตลาดและในปัจจุบัน ปัญหาแรงจูงใจยังคงเป็นปัญหาเร่งด่วนที่สุด และน่าเสียดายที่ปัญหาที่ไม่ได้รับการแก้ไขมากที่สุดในแง่ปฏิบัติ วิธีแก้ปัญหานี้ขึ้นอยู่กับตัวเราเองเป็นหลัก ตัวเราเองต้องรับผิดชอบต่อชีวิตและแรงจูงใจในการทำงาน อย่างไรก็ตาม ดูเหมือนว่าพวกเราหลายคนใช้เวลามากเกินไปก่อนที่เราจะกล้ารับผิดชอบหลักต่อเนื้อหาในชีวิตและความปรารถนาที่จะทำงาน เราคุ้นเคยกับการมองหาสาเหตุของปัญหาชีวิตและงานของเราก่อนจากตัวเรา
พบเหตุผลได้อย่างรวดเร็ว: เพื่อนร่วมงานที่ใกล้เคียงที่สุด ผู้บังคับบัญชา ผู้ใต้บังคับบัญชา การแบ่งงาน บรรยากาศ วิธีการจัดการ สภาพเศรษฐกิจ นโยบายของรัฐบาลที่ไม่สมเหตุสมผล และปัจจัยอื่น ๆ อีกมากมายแม้จะอยู่นอกขอบเขตของประเทศของเรา พวกเราหลายคนใช้เวลามากมายในการอธิบายประสิทธิผลของงานหรือไม่เต็มใจที่จะทำงานในช่วงเวลานี้หากใช้อย่างถูกต้องเราจะสามารถบรรลุแรงจูงใจที่สูงขึ้นอย่างมากทั้งเพื่อตัวเราเองและสำหรับคนใกล้ชิดกับเรา
การส่งผลงานที่ดีของคุณไปยังฐานความรู้เป็นเรื่องง่าย ใช้แบบฟอร์มด้านล่าง
นักศึกษา นักศึกษาระดับบัณฑิตศึกษา นักวิทยาศาสตร์รุ่นเยาว์ ที่ใช้ฐานความรู้ในการศึกษาและการทำงาน จะรู้สึกขอบคุณเป็นอย่างยิ่ง
เอกสารที่คล้ายกัน
สาระสำคัญ รูปแบบ หลักการ และระบบค่าตอบแทน การวิเคราะห์กองทุนค่าจ้างโดยใช้ตัวอย่างของ NKMZ JSC วิธีการจ่ายค่าตอบแทนพนักงานที่ใช้ในองค์กร แนวทางการปรับปรุงระบบการชำระเงินและการจูงใจแรงงานในสภาวะตลาด
การวิเคราะห์ประเภทของกิจกรรมของ LLC UMTS "Splav" คุณลักษณะของระบบในการจัดการบัญชีแรงงาน ระบบค่าจ้างเป็นองค์ประกอบที่จำเป็นขององค์กรค่าตอบแทน คุณสมบัติของวิธีการจูงใจคนงาน โครงสร้างของกองทุนค่าจ้าง
งานหลักสูตร เพิ่มเมื่อ 09/01/2012
สาระสำคัญและเนื้อหาของหมวดหมู่ "แรงจูงใจในการทำงาน" ทฤษฎีแรงจูงใจ สาระสำคัญ และความสำคัญ การวิเคราะห์สถานะปัจจุบันของระบบแรงจูงใจของพนักงานที่ Svetlana LLC การเสริมสร้างปัจจัยสร้างแรงบันดาลใจในด้านค่าตอบแทนประสิทธิผลของมาตรการ
งานหลักสูตรเพิ่มเมื่อ 18/05/2010
การพิจารณาแบบฟอร์ม แหล่งที่มาของการจัดตั้งกองทุนค่าจ้าง ระบบโบนัส และสิ่งจูงใจสำหรับพนักงาน ลักษณะของการผลิตและกิจกรรมทางเศรษฐกิจของ PA "Baker": การวิเคราะห์ต้นทุนการผลิตความสามารถในการทำกำไรองค์กรและค่าตอบแทน
วิทยานิพนธ์เพิ่มเมื่อ 25/05/2010
ปัญหาการกระตุ้นแรงงานในระบบเศรษฐกิจ ลักษณะของระบบค่าจ้างแบบดั้งเดิมในสถานประกอบการ การวินิจฉัยแรงจูงใจในการทำงาน ทิศทางค่านิยม และความพึงพอใจในงานของบุคลากรในบริษัท การพัฒนาระบบค่าตอบแทนที่เป็นกรรมสิทธิ์
วิทยานิพนธ์เพิ่มเมื่อ 09/08/2010
ระบบค่าตอบแทน: ประเภท แบบฟอร์ม และขั้นตอนการคำนวณ ขั้นตอนการกำหนดค่าตอบแทนพนักงานของสถาบันการแพทย์ การบัญชีการเงินในองค์กรงบประมาณ การวิเคราะห์ตัวชี้วัดสำคัญ โครงการมาตรการปรับปรุงระบบค่าตอบแทน
วิทยานิพนธ์เพิ่มเมื่อ 12/22/2555
สาระสำคัญและหลักการของค่าตอบแทนในระบบเศรษฐกิจตลาด รูปแบบและระบบค่าตอบแทนที่ทันสมัย การวิเคราะห์ค่าตอบแทนที่ LLC "Sigma", Kostroma การวิเคราะห์ระบบค่าตอบแทนพนักงาน การปรับปรุงระบบค่าจ้างในสถานประกอบการที่กำลังศึกษา
วิทยานิพนธ์เพิ่มเมื่อ 04/11/2555
แรงจูงใจทางวัตถุทั้งหมดขึ้นอยู่กับรางวัลทางวัตถุของบุคคลสำหรับงานของเขา สามารถดำเนินการในรูปแบบของการจ่ายค่าจ้างเช่นเดียวกับในรูปแบบของโปรแกรมทางสังคมที่กำหนดโดยกฎหมายและกฎของรัสเซียที่นำมาใช้ในองค์กรนี้
ค่าจ้างเป็นรูปแบบชั้นนำของแรงจูงใจด้านวัตถุสำหรับบุคลากร เป็นการแสดงออกในแง่การเงินถึงความพยายามและเวลาที่บุคคลใช้ในกระบวนการแรงงาน
ค่าจ้างเป็นปัจจัยพื้นฐานที่กระตุ้นให้เกิดความจำเป็นในการทำงานสำหรับคนส่วนใหญ่
แต่ความจริงของการได้รับสิ่งนี้ไม่ได้รับประกันว่างานจะมีมโนธรรมและมีประสิทธิผลเสมอไป ดังนั้นหากเราพูดถึงค่าจ้างเป็นปัจจัยที่เพิ่มแรงจูงใจของคนงานก็จำเป็นต้องสร้างการพึ่งพาขนาดของมันกับผลงานขั้นสุดท้าย ในกรณีนี้พนักงานที่ปฏิบัติหน้าที่ด้วยความรับผิดชอบ และผู้ที่แสดงผลงานสูงจะได้รับค่าตอบแทนมากกว่าใครๆ สิ่งนี้นำความรู้สึกพึงพอใจมาสู่ “พนักงานขั้นสูง” กับผลงานของพวกเขา และทำหน้าที่เป็นแรงจูงใจในการทำงานที่ดีขึ้นของทั้งทีม
เพื่อทำความเข้าใจว่างานนี้สามารถทำได้จริงอย่างไร เรามาดูรายละเอียดพื้นฐานของการก่อสร้างกันก่อน ระบบค่าจ้าง ในองค์กร
ค่าตอบแทนสำหรับพนักงานในองค์กรเป็นไปตามกฎหมายของสหพันธรัฐรัสเซียและอยู่ภายใต้การควบคุมโดยรัฐ กฎระเบียบของรัฐขยายไปถึงการกำหนดค่าจ้างขั้นต่ำ การจัดเก็บภาษีจากกองทุนที่องค์กรจัดสรรสำหรับค่าจ้าง และการจัดตั้งหลักประกันค่าจ้างโดยรัฐ
มาตรฐานที่ยืนยันหน้าที่ที่ระบุไว้ก่อนหน้านี้มีอยู่ในประมวลกฎหมายแรงงานของสหพันธรัฐรัสเซียและตามกฎแล้วจะได้รับการแก้ไขในข้อตกลงด้านแรงงานและส่วนรวมที่องค์กรสรุปกับพนักงาน
การปฏิบัติตามบรรทัดฐานทางกฎหมายเป็นพื้นฐานสำหรับองค์กรในการสร้างระบบค่าตอบแทนสำหรับพนักงาน แต่นอกเหนือจากบรรทัดฐานทางกฎหมายแล้ว ยังต้องคำนึงถึงปัจจัยหลายประการด้วย
แบบฟอร์มค่าตอบแทนค่าตอบแทนมีสองรูปแบบหลัก: ตามเวลาและอัตราชิ้น ค่าจ้างตามเวลาเกี่ยวข้องกับการคำนวณค่าจ้างตามต้นทุนการทำงานหนึ่งชั่วโมงหรือเงินเดือนตามเวลาที่ทำงานจริง ค่าจ้างรูปแบบนี้ใช้ในการจ่ายเงินให้กับผู้เชี่ยวชาญและผู้จัดการ เนื่องจากพวกเขาไม่ได้ผลิตผลิตภัณฑ์เฉพาะเจาะจง โดยนับเป็นชิ้น เมตร และกิโลกรัม งานของพวกเขาวัดจากเวลาที่ใช้ในงานของพวกเขา
ค่าจ้างชิ้นงานขึ้นอยู่กับปริมาณของผลิตภัณฑ์ที่ผลิต และคำนวณจากต้นทุนต่อหน่วยการผลิต งานของคนงานได้รับการประเมินตามค่าจ้างชิ้นงาน ซึ่งสามารถวัดผลลัพธ์ในเชิงปริมาณได้
ความคุ้มครองของพนักงานความคุ้มครองของพนักงานรวมถึงค่าตอบแทนรายบุคคลและส่วนรวม การจ่ายเงินรายบุคคลคือการคำนวณค่าจ้างสำหรับพนักงานแต่ละคนโดยเฉพาะ การจ่ายเงินรวมจะเกิดขึ้นตามผลงานของกลุ่ม จากนั้นจึงกระจายภายในกลุ่มนี้ตามกฎที่กำหนดไว้
วิธีการชำระเงินวิธีการชำระเงิน - เงินสดและส่วนประกอบ ตามกฎแล้วค่าจ้างจะจ่ายเป็นเงินสด แต่ตามข้อตกลงกับพนักงานและตามกฎหมายของสหพันธรัฐรัสเซีย การชำระเงินบางส่วนเป็นไปได้ - ในสินค้าหลักทรัพย์หรือบริการ
ระยะเวลาของรอบระยะเวลาการเรียกเก็บเงินระยะเวลาของรอบบิลคือความถี่ของการชำระเงิน การชำระเงินสามารถเป็นรายวันรายสัปดาห์รายเดือน
การศึกษาและวิเคราะห์ปัจจัยที่ระบุไว้ทำให้สามารถพัฒนาและใช้ระบบการชำระเงินที่สอดคล้องกับเป้าหมายและวัตถุประสงค์ขององค์กรตลอดจนความสามารถทางการเงินขององค์กร แต่จำเป็นไม่เพียงแต่จะต้องสร้างระบบค่าตอบแทนสำหรับบุคลากรเท่านั้น แต่ยังต้องแน่ใจว่าจะกลายเป็นแรงจูงใจด้านแรงงานด้วย
ในการทำเช่นนี้เมื่อพัฒนาจำเป็นต้องปฏิบัติตามกฎที่ช่วยให้มั่นใจถึงประสิทธิภาพแรงงานที่เพิ่มขึ้นของคนงาน:
■ ระบบการชำระเงินควรมุ่งเน้นที่พนักงานในการบรรลุผลลัพธ์ที่ต้องการโดยองค์กร ดังนั้นจำนวนค่าจ้างจึงเชื่อมโยงกับตัวบ่งชี้การปฏิบัติงานของทั้งองค์กร (กำไร ปริมาณการขาย การปฏิบัติตามแผน)
■ ระบบการชำระเงินควรเป็นวิธีการบริหารงานบุคคล ในกรณีนี้ ผู้จัดการจะต้องมีโอกาสที่จะให้รางวัลทั้งในด้านวัตถุและการลงโทษ
■ ระบบค่าตอบแทนจะต้องเป็นไปตามความคาดหวังของพนักงานและสอดคล้องกับเงื่อนไขที่มีอยู่ในองค์กรอื่น
ดังที่เราได้กล่าวไปแล้ว ระบบการชำระเงินในแต่ละองค์กรมีลักษณะเฉพาะของตัวเอง ซึ่งสะท้อนถึงข้อกำหนดของการผลิต ประเภทของกิจกรรม และนโยบายบุคลากรที่นำมาใช้
อย่างไรก็ตาม เมื่อเร็ว ๆ นี้ หลายองค์กรได้หันมาใช้รูปแบบการจ่ายค่าตอบแทนซึ่งเกี่ยวข้องกับการแบ่งการจ่ายเงินให้กับพนักงานออกเป็นสามส่วน
ส่วนแรก- นี่คือเงินเดือนพื้นฐาน เป็นการจ่ายสำหรับการปฏิบัติหน้าที่ราชการและยังคงไม่เปลี่ยนแปลง (ยกเว้นค่าตอบแทนในรูปแบบชิ้นงาน) พนักงานทุกคนในองค์กรได้รับเงินเดือน
ส่วนที่สอง- สิ่งเหล่านี้เป็นการจ่ายสิทธิพิเศษและค่าตอบแทน - แพ็คเกจทางสังคมที่องค์กรมอบให้กับพนักงาน ซึ่งรวมถึงการจ่ายเงินสำหรับวันหยุดพักผ่อน การลาป่วย อาหาร การฝึกอบรมพนักงาน ประกันชีวิตและสุขภาพ ตลอดจนค่าตอบแทนเงินเฟ้อประจำปี ส่วนของค่าตอบแทนของค่าตอบแทนเป็นรายบุคคลและขึ้นอยู่กับจำนวนปีที่พนักงานทำงานและความพร้อมของโครงการทางสังคมเพิ่มเติมที่องค์กรนำมาใช้ พนักงานทุกคนยังได้รับค่าตอบแทนอีกด้วย
ส่วนที่สาม- เป็นการจ่ายเงินเพิ่มเติมโดยองค์กรสำหรับความสำเร็จด้านแรงงานในช่วงก่อนหน้า การชำระเงินเพิ่มเติมสามารถทำได้ในรูปแบบของโบนัส เปอร์เซ็นต์ของยอดขายผลิตภัณฑ์ การจ่ายเงินเพิ่มเติมสำหรับวันหยุดพักผ่อน รวมถึงโบนัสและค่าสัมประสิทธิ์สำหรับความซับซ้อนและคุณภาพของงานที่ทำ การชำระเงินส่วนนี้เป็นตัวแปร มันแตกต่างกันสำหรับพนักงานทุกคนและขึ้นอยู่กับตัวชี้วัดการปฏิบัติงานของแต่ละบุคคล พนักงานทุกคนไม่ได้รับส่วนนี้ แต่เฉพาะผู้ที่ประสบความสำเร็จในการทำงานเท่านั้น
ระบบค่าตอบแทนที่นำเสนอนั้นรวมถึงการจ่ายทุกประเภทให้กับบุคลากรที่กฎหมายกำหนดและทำให้สามารถกระตุ้นประสิทธิภาพของพนักงานผ่านโบนัสเพิ่มเติมสำหรับงานที่มีคุณภาพและมีประสิทธิผล
ควรสังเกตว่าเมื่อสร้างระบบค่าตอบแทน หัวหน้าองค์กรและบริการบุคลากรต้องจำไว้ว่าความหมายของค่าตอบแทนที่เป็นตัวเงินสำหรับพนักงานไม่ได้จำกัดอยู่เพียงค่าตอบแทนสำหรับความพยายามที่เขาใช้ในการปฏิบัติงานเท่านั้น ค่าตอบแทนที่เป็นตัวเงิน รูปแบบของใบเสร็จรับเงิน และขนาดของมัน ถือเป็นหลักฐานยืนยันคุณค่าขององค์กร สร้างความภาคภูมิใจในตนเอง และพูดถึงสถานะทางสังคม ดังนั้นเงินที่พนักงานได้รับจึงเป็นตัวบ่งชี้ถึงการตระหนักรู้ในตนเองทั้งส่วนบุคคลและทางวิชาชีพ
คำอธิบายบรรณานุกรม:
เนสเตรอฟ เอ.เค. แรงจูงใจของบุคลากรในองค์กร [ทรัพยากรอิเล็กทรอนิกส์] // เว็บไซต์สารานุกรมการศึกษา
การจัดการแรงจูงใจในการทำงานเป็นปัจจัยสำคัญในระบบการบริหารงานบุคคลขององค์กร เนื่องจากมีความสัมพันธ์โดยตรงระหว่างแรงจูงใจของพนักงานและประสิทธิผลของงานของเขา
แนวคิดและสาระสำคัญของแรงจูงใจในการทำงาน
แรงจูงใจเป็นกระบวนการสร้างแรงจูงใจเพื่อให้บรรลุเป้าหมายที่ตั้งไว้ ความต้องการและแรงจูงใจเกี่ยวข้องกับกระบวนการสร้างแรงจูงใจ ความต้องการคือแรงกระตุ้นภายในที่จะดำเนินการ กระบวนการสร้างแรงจูงใจจบลงด้วยการพัฒนาแรงจูงใจ นอกเหนือจากความต้องการแล้ว การวางแนวคุณค่า ความเชื่อ และมุมมองก็มีส่วนร่วมในกระบวนการนี้ด้วย นี่เป็นกระบวนการที่ซ่อนอยู่ ไม่สามารถสังเกตได้และไม่สามารถระบุได้จากเชิงประจักษ์
คุณสามารถเห็นผลลัพธ์ของแรงจูงใจเท่านั้น - พฤติกรรมของมนุษย์
ไม่เพียงแต่การเพิ่มขึ้นของกิจกรรมทางสังคมและความคิดสร้างสรรค์ของพนักงานคนใดคนหนึ่งเท่านั้น แต่ผลลัพธ์สุดท้ายของกิจกรรมขององค์กรยังขึ้นอยู่กับแรงจูงใจที่มีประสิทธิผลด้วย
ทฤษฎีแรงจูงใจแต่ละทฤษฎีที่มีอยู่นั้นขึ้นอยู่กับผลลัพธ์ของแง่มุมทางทฤษฎีและการประยุกต์ใช้บางอย่าง โดยวางทฤษฎีเหล่านั้นไว้เป็นพื้นฐานของแนวคิด อย่างไรก็ตาม ยังไม่มีการพัฒนาแนวทางที่เป็นเอกภาพในการกำหนดแนวคิดเรื่องแรงจูงใจ
แนวทางการกำหนดแนวคิดแรงจูงใจในการทำงาน
ในบทความนี้ เราจะใช้วิทยานิพนธ์ต่อไปนี้ ซึ่งอธิบายลักษณะสำคัญของแรงจูงใจในการทำงาน
แรงจูงใจของพนักงานคือชุดของแรงผลักดันภายในและภายนอกที่กระตุ้นให้บุคคลดำเนินกิจกรรมอย่างมีสติ
ในฐานะที่เป็นองค์ประกอบของระบบการจัดการ แรงจูงใจของบุคลากรมีวัตถุประสงค์เพื่อส่งเสริมให้ผู้คนปฏิบัติงานอย่างมีประสิทธิผลสูงสุดภายใต้กรอบสิทธิและความรับผิดชอบของตน ในเรื่องนี้แรงจูงใจส่งผลโดยตรง - ทักษะของพนักงานจะไม่นำมาซึ่งผลลัพธ์หากเขาไม่สนใจ ในการจัดการองค์กร มีการใช้ปัจจัยภายในและภายนอกที่ซับซ้อนเพื่อจูงใจพนักงาน
โดยแต่ละปัจจัย ปัจจัยเหล่านี้มีความสำคัญเพียงเล็กน้อยสำหรับมนุษย์ และในสภาวะสมัยใหม่ ผลกระทบของปัจจัยเหล่านี้ไม่ได้รุนแรงมากนัก แต่ด้วยอิทธิพลที่ซับซ้อน ปัจจัยเหล่านี้จะเสริมกำลังซึ่งกันและกันซ้ำแล้วซ้ำเล่า ทำให้เกิดผลทวีคูณ
ทฤษฎีแรงจูงใจบุคลากร
ตารางแสดงทฤษฎีแรงจูงใจที่สำคัญและขั้นตอนซึ่งมีการสร้างแรงจูงใจและแรงจูงใจที่ซับซ้อนซึ่งทำหน้าที่เป็นองค์ประกอบของแรงจูงใจในการทำงานของบุคลากรในองค์กร
1. ทฤษฎีความต้องการของมาสโลว์ |
||
---|---|---|
ความต้องการ |
||
1.1. ความต้องการทางสรีรวิทยา |
– อาหารที่มีคุณภาพ – น้ำสะอาด – สภาพความเป็นอยู่ที่ดี – เงื่อนไขที่เอื้ออำนวยต่อการพักผ่อน |
– เงินเดือนที่ยุติธรรม – สินเชื่อที่อยู่อาศัย – บัตรกำนัลสถานพยาบาล – แพ็คเกจโซเชียล |
1.2. ความต้องการด้านความปลอดภัย |
– การป้องกันอันตรายทางร่างกายและศีลธรรมจากสิ่งแวดล้อม - มั่นใจว่าความต้องการทางสรีรวิทยาจะได้รับการตอบสนอง |
– มีบรรยากาศทางศีลธรรมและจิตใจที่ดีในทีม – รูปแบบการบริหารแบบประชาธิปไตยของผู้นำ – ประกันสุขภาพ – ความช่วยเหลือในสถานการณ์ฉุกเฉิน |
1.3. ความต้องการทางสังคม |
- การสื่อสาร; – การเลียนแบบ; – การมีส่วนร่วม; – ความสามัคคี การสนับสนุน มิตรภาพ การช่วยเหลือซึ่งกันและกัน |
– โอกาสในการสื่อสาร – รูปแบบความเป็นผู้นำแบบประชาธิปไตย – โอกาสที่เท่าเทียมกัน “ความเท่าเทียมกันของโอกาส”; – คณะกรรมการเกียรติยศ – ขอบคุณ; – การรับรู้บุญ; – ความเป็นธรรมในทุกสิ่ง (ในการกระจายงาน การประเมิน รางวัล) – โปรแกรมกิจกรรมทางวัฒนธรรมและสันทนาการ |
1.4. ความต้องการการยอมรับและความเคารพ |
– ความนับถือตนเอง; – ความสำเร็จส่วนบุคคล – ความสามารถ; – ความเคารพจากผู้อื่น - การยอมรับ. |
– เงินเดือนที่เหมาะสม – การขยายอำนาจ; – ผลประโยชน์ส่วนตัว – เพิ่มจำนวนผู้ใต้บังคับบัญชา – การยอมรับและความเคารพสากล |
1.5. ความต้องการในการแสดงออก |
– การตระหนักถึงศักยภาพ โอกาส; – การเติบโตส่วนบุคคล – อาชีพ; – การแสดงออก; - ความอยากรู้; - การสร้าง; - สิ่งประดิษฐ์; - นวัตกรรม; - ทำวิทยาศาสตร์ |
– การมีส่วนร่วมในการจัดการและการตัดสินใจ – การมีส่วนร่วมในกลุ่มโครงการ – โอกาสมากมายสำหรับการฝึกอบรมและการฝึกอบรมขั้นสูง – การเติบโตของอาชีพอย่างแข็งขัน; – จัดให้มีงานตามความสนใจตามอาชีพ – คำแนะนำอย่างมืออาชีพ – เพิ่มลักษณะความคิดสร้างสรรค์ของงาน – โดยคำนึงถึงคุณสมบัติและความสามารถส่วนบุคคลของพนักงาน – รางวัลด้านนวัตกรรม สิ่งประดิษฐ์ การค้นพบ – การเสนอชื่อเข้าชิงรางวัลระดับรัฐและระดับนานาชาติ |
2. ทฤษฎีการดำรงอยู่ การเชื่อมโยง และการเติบโต โดย เค. อัลเดอร์เฟอร์ |
||
ความต้องการ |
||
2.1. ความต้องการดำรงอยู่: สรีรวิทยา, ความปลอดภัย ความปลอดภัย, ค่าจ้าง |
– อาหาร น้ำ ที่พักอาศัย การพักผ่อน – การป้องกันอันตรายทางกายภาพ - เชื่อมั่นว่า ความต้องการทางสรีรวิทยาจะได้รับการตอบสนอง |
– ระดับเงินเดือนที่เพียงพอ – การชำระค่าที่อยู่อาศัย – แพ็คเกจโซเชียล – ระบบบำนาญ; – ประกันสุขภาพ. |
2.2. ความต้องการด้านการสื่อสาร: สถานประกอบการ ผู้ติดต่อ ความเคารพความชื่นชม บุคลิกภาพ |
- การสื่อสาร; – การมีส่วนร่วม; – การสนับสนุน มิตรภาพ การช่วยเหลือซึ่งกันและกัน |
– โอกาสในการสื่อสาร – บรรยากาศทางจิตวิทยาที่ดีในทีม – โอกาสที่เท่าเทียมกัน – ขอบคุณ; - การรับรู้บุญ |
2.3. ความต้องการการเติบโต: การพัฒนา ความคิดสร้างสรรค์ ศักยภาพ, การตระหนักรู้ในตนเอง |
– ความเคารพ การยอมรับ – การตระหนักถึงโอกาสที่เป็นไปได้ – การเติบโตส่วนบุคคล – การแสดงออก ความคิดสร้างสรรค์ |
– การยอมรับและความเคารพในระดับสากล – สิทธิในการดำเนินการตามข้อเสนอของตน – โอกาสในการฝึกอบรมและการฝึกอบรมขั้นสูง - รางวัลสิ่งประดิษฐ์ |
3. ทฤษฎีความต้องการได้มาโดย D. McClelland |
||
ความต้องการ |
||
3.1. ความต้องการพลังงาน |
– ความปรารถนาที่จะโน้มน้าวผู้อื่นให้รู้สึกว่ามีประโยชน์และมีความสำคัญ |
– การมีส่วนร่วมในการจัดการและการตัดสินใจ – การขยายอำนาจ; – เพิ่มจำนวนผู้ใต้บังคับบัญชา |
3.2. ความต้องการความสำเร็จ |
– การมีส่วนร่วมในการทำงานที่มีแนวโน้ม; – บรรลุเป้าหมาย; – ศักดิ์ศรี; – การพัฒนาอาชีพ |
จัดให้มีความคิดริเริ่มและอำนาจในวงกว้าง รางวัลสำหรับผลลัพธ์ มีส่วนร่วมในความสำเร็จ การยอมรับในระดับสากล ได้รับรางวัล "พนักงานดีเด่นแห่งปี" |
3.3. ความต้องการเป็นเจ้าของ |
- การสื่อสาร; – การเลียนแบบ; – การมีส่วนร่วม; – ความสามัคคี การสนับสนุน มิตรภาพ |
– โอกาสในการสื่อสาร – ปากน้ำทางสังคมที่ดี; – การมีส่วนร่วมในการจัดการและการตัดสินใจ – จัดการประชุม – ช่วยเหลือผู้อื่น – การติดต่อทางธุรกิจ |
4. ทฤษฎีสองปัจจัยโดย F. Herzberg |
||
ความต้องการ |
||
4.1. ถูกสุขลักษณะ |
- การส่งเสริม; – การยอมรับและการอนุมัติผลงาน – มีความรับผิดชอบสูง – ความคิดสร้างสรรค์และ การเติบโตของธุรกิจ |
– มีบรรยากาศทางศีลธรรมและจิตใจที่ดี – สภาพการทำงานปกติ – เงินเดือนที่ยุติธรรม – บรรยากาศที่เป็นกันเอง – ควบคุมการทำงานในระดับปานกลาง |
4.2. แรงจูงใจ |
– จัดให้มีความคิดริเริ่มและอำนาจในวงกว้าง – รางวัลสำหรับผลลัพธ์; – การมีส่วนร่วมในความสำเร็จ – การวางแผนอาชีพ – ค่าตอบแทนที่ยุติธรรม – มีความรับผิดชอบสูง; – การศึกษาและการฝึกอบรมขั้นสูง |
|
ทฤษฎีกระบวนการจูงใจ |
||
5. ทฤษฎีความคาดหวังของ V. Vroom |
||
ความต้องการ |
||
5.1. ต้นทุน-ผลลัพธ์ |
– ความสำคัญของงาน – ความเป็นไปได้ของงาน – ดำเนินการให้คำปรึกษาที่จำเป็น |
– การประเมินผล |
5.2. ผลลัพธ์ของรางวัล |
– ความแน่นอนและทันเวลาของค่าตอบแทน |
– ความไว้วางใจในผู้นำ; – ประสิทธิภาพขององค์กร |
5.3. วาเลนซ์ |
– ค่าตอบแทนสำหรับผลิตภาพแรงงานที่ได้รับ |
– การรับประกันค่าตอบแทน – ความสอดคล้องของค่าตอบแทนกับผลงาน |
6. ทฤษฎีความยุติธรรมของเอส. อดัมส์ |
||
ความต้องการ |
||
– การปฏิบัติตามค่าตอบแทนกับค่าตอบแทนเฉลี่ยของผู้เชี่ยวชาญอื่น ๆ สำหรับงานที่คล้ายกัน |
การขอค่าจ้างชดเชยตาม “ราคาตลาด” ของลูกจ้าง |
|
7. แนวคิดการจัดการแบบมีส่วนร่วม |
||
ความต้องการ |
||
– ตระหนักถึงความสำคัญและความสำคัญของงานของตนเพื่อการพัฒนาองค์กร |
– การมีส่วนร่วมในการจัดการและการตัดสินใจ – การมีส่วนร่วมในโครงการ – การควบคุมตนเอง; – ความรับผิดชอบส่วนบุคคลและกลุ่มต่อผลลัพธ์ |
ที่มา: Vikhansky, O. S. การจัดการ: หนังสือเรียน / O. S. Vikhansky, A. I. Naumov – ฉบับที่ 5 แบบเหมารวม. – อ.: ปริญญาโท: INFRA-M, 2012.
การสร้างระบบแรงจูงใจตามทฤษฎีแรงจูงใจนั้นมีพื้นฐานมาจากการระบุและตอบสนองความต้องการที่โดดเด่นของพนักงาน และทฤษฎีขั้นตอนของแรงจูงใจกำหนดบทบาทสำคัญในการสร้างพฤติกรรมสร้างแรงบันดาลใจของพนักงาน
วิธีการจูงใจพนักงานในองค์กร
วิธีการจูงใจแรงงานถูกนำเสนอเป็นอิทธิพลของกฎระเบียบด้านการจัดการในสามประเภท: แบบพาสซีฟ ทางอ้อม และแบบแอคทีฟ
- อิทธิพลเชิงโต้ตอบไม่มีอิทธิพลต่อคนงาน แต่มุ่งเป้าไปที่การสร้างสภาพการทำงานและรวมถึงการพัฒนาบรรทัดฐาน กฎเกณฑ์ และข้อบังคับที่เกี่ยวข้องกับการทำงานของบุคลากร
- ผลกระทบทางอ้อมส่งผลกระทบต่อพนักงานขององค์กรทางอ้อมและดำเนินการในรูปแบบของโปรแกรมโบนัสและแรงจูงใจที่ครอบคลุมซึ่งมุ่งเป้าไปที่ทีมงานองค์กรโดยรวม
- อิทธิพลเชิงรุกเกี่ยวข้องกับการมีอิทธิพลโดยตรงต่อพนักงานเฉพาะเจาะจงหรือกลุ่มพนักงาน
วิธีการจูงใจแสดงไว้ในแผนภาพ
วิธีการจูงใจพนักงานในการทำงาน
วิธีการจูงใจทางเศรษฐกิจนั้นขึ้นอยู่กับการได้รับผลประโยชน์บางอย่างจากพนักงานซึ่งจะช่วยเพิ่มความเป็นอยู่ที่ดีของพวกเขา
รูปแบบโดยตรงของวิธีการทางเศรษฐกิจ:
- เงินเดือนพื้นฐาน
- การชำระเงินเพิ่มเติมโดยคำนึงถึงความซับซ้อนของงานและคุณสมบัติการทำงานส่วนเกิน ฯลฯ
- ค่าตอบแทนในรูปแบบของโบนัสและการจ่ายเงินขึ้นอยู่กับการมีส่วนร่วมของพนักงานต่อผลลัพธ์ของกิจกรรมการผลิตขององค์กร
- การชำระเงินประเภทอื่น
รูปแบบทางอ้อมของวิธีการทางเศรษฐกิจ:
- การจัดหารถยนต์ของบริษัทเพื่อใช้
- การใช้สิ่งอำนวยความสะดวกทางสังคมขององค์กร
- ซื้อสินค้าขององค์กรในราคาที่ต่ำกว่าราคาขาย
- การให้สิทธิประโยชน์ต่างๆ
วิธีการขององค์กร:
- แรงจูงใจตามเป้าหมายที่น่าสนใจสำหรับงานหลักของพนักงาน
- แรงจูงใจโดยการเพิ่มเนื้อหาของกิจกรรมการทำงาน
- แรงจูงใจในการมีส่วนร่วมในกิจการขององค์กร
วิธีการทางศีลธรรมและจิตวิทยา:
- ความภาคภูมิใจในงานที่ได้รับมอบหมายและสำเร็จลุล่วง
- ความรับผิดชอบต่อผลงาน
- ท้าทาย โอกาสในการแสดงความสามารถของคุณ
- การรับรู้ผลงานผลงานหรือโครงการที่ทำ;
- การยกย่องอย่างสูง อาจเป็นส่วนตัวหรือสาธารณะก็ได้
ข้อกำหนดสำหรับวิธีการจูงใจการทำงานของบุคลากรในองค์กร
แนวทางการปรับปรุงและเพิ่มประสิทธิภาพการจูงใจบุคลากรในองค์กร
ระบบแรงจูงใจของพนักงานเป็นเครื่องมือการบริหารงานที่มีความยืดหยุ่นซึ่งมุ่งเน้นในการบรรลุเป้าหมายของบริษัทโดยใช้วิธีการบริหาร เศรษฐกิจ และสังคมและจิตวิทยา
องค์กรต่างๆ จำเป็นต้องสร้างระบบการจัดการแรงงานที่มีประสิทธิผลซึ่งจะรับประกันการเปิดใช้งานปัจจัยมนุษย์ ด้วยเหตุนี้ องค์กรจึงใช้วิธีการจูงใจพนักงานเพื่อกำหนดทิศทางของผู้คนให้ไปสู่แนวทางแก้ไขที่มีประสิทธิผลสูงสุดของงานที่ได้รับมอบหมาย แรงจูงใจด้านแรงงานมีจุดมุ่งหมายเพื่อเพิ่มผลิตภาพแรงงาน เพิ่มผลกำไรขององค์กร ซึ่งท้ายที่สุดจะนำไปสู่การบรรลุเป้าหมายเชิงกลยุทธ์ขององค์กร
ปัญหาหลักคือเรื่องของการสร้างระบบการจูงใจบุคลากรในองค์กรที่มีประสิทธิภาพและประสิทธิผล เนื่องจากผู้จัดการทุกคนมุ่งมั่นที่จะให้แน่ใจว่าพนักงานจะไม่หมดความสนใจในการทำงาน องค์กรต่างๆ จึงพัฒนากิจกรรมพิเศษและสร้างระบบแรงจูงใจเพื่อรักษาความสนใจของพนักงานในการทำงาน
ในการศึกษาก่อนหน้านี้ พบว่ามีความสัมพันธ์ที่มั่นคงระหว่างกัน โดยแสดงออกผ่านประเภทของแรงจูงใจและปัจจัยที่มีอิทธิพลต่อความสนใจในการทำงาน
ระบบแรงจูงใจที่ไม่มีประสิทธิภาพส่งผลให้ผลิตภาพแรงงานลดลง ดังนั้นความสำคัญของการใช้วิธีกระตุ้นแรงงานอย่างมีเหตุผลจึงชัดเจน
การพึ่งพาซึ่งกันและกันของแรงจูงใจของพนักงานและประสิทธิภาพทางเศรษฐกิจขององค์กรเป็นพื้นฐานขององค์กร
งานของผู้จัดการคือการจัดกระบวนการทำงานเพื่อให้ผู้คนทำงานได้อย่างมีประสิทธิภาพ ประสิทธิภาพการผลิตและบรรยากาศของความสัมพันธ์ในองค์กรขึ้นอยู่กับขอบเขตที่พนักงานเห็นด้วยกับตำแหน่งในบริษัทและระบบการให้รางวัลที่มีอยู่โดยตรง ซึ่งในทางกลับกันมีอิทธิพลต่อการลดความสัมพันธ์ภายในบริษัทอย่างเป็นทางการที่เข้มงวดโดยมุ่งเป้าไปที่การเปลี่ยนแปลงในบริบทของความเป็นจริงตามวัตถุประสงค์ในเงื่อนไขขององค์กร
ทิศทางทั่วไปในการปรับปรุงระบบแรงจูงใจของบุคลากรในองค์กรคือการขยายรูปแบบและประเภทของสิ่งจูงใจ ตัวอย่างเช่นหากในระบบแรงจูงใจขององค์กรสิ่งจูงใจทางวัตถุที่เด่นชัดที่สุดหรือในทางปฏิบัติแล้วไม่มีสิ่งจูงใจประเภทที่ไม่ใช่วัตถุก็จำเป็นต้องใช้สิ่งจูงใจทางศีลธรรมประเภทอื่น ๆ สำหรับพนักงานมากขึ้นเช่น:
- วางบันทึกความสำเร็จต่างๆ ของพนักงานไว้ในแฟ้มส่วนตัวของเขา
- กล่าวขอบคุณด้วยวาจาในนามของผู้บริหารของบริษัท
- การฝึกอบรมเพิ่มเติมโดยเป็นค่าใช้จ่ายขององค์กร
- คำเชิญไปรับประทานอาหารกลางวันแบบเสียค่าใช้จ่ายที่ร้านอาหารที่บริษัทจัดเตรียมให้กับพนักงาน
- ชั่วโมงการทำงานที่ยืดหยุ่น
- มีที่จอดรถยนต์และน้ำมันฟรี
- อุปกรณ์ในที่ทำงานคุณภาพสูงขึ้น รวมถึงการซื้ออุปกรณ์ใหม่ให้กับพนักงานที่ดีที่สุดในช่วงปลายปี
- การวางรูปถ่ายในหนังสือพิมพ์ติดผนัง
- ของที่ระลึกพร้อมข้อความพิเศษ “Best Worker”
- โพสต์การตอบกลับของลูกค้าอย่างชื่นชมเพื่อให้ทุกคนสามารถเห็นได้
- สมัครสมาชิกสิ่งพิมพ์เฉพาะทางเป็นระยะ
เพื่อเพิ่มแรงจูงใจของพนักงาน จำเป็นต้องสร้างเงื่อนไขสำหรับการแสดงออกของพนักงาน จัดให้มีความคิดริเริ่มในการตัดสินใจ และสร้างเงื่อนไขสำหรับพนักงานเพื่อให้มีโอกาสมีอิทธิพลต่อกระบวนการที่เกิดขึ้นในบริษัท ในการดำเนินการนี้ ผู้อำนวยการสามารถมอบหมายอำนาจบางส่วนของตนให้กับหัวหน้าแผนกต่างๆ ของบริษัทได้โดยตรง
มันจะมีประโยชน์สำหรับผู้จัดการที่จะใช้เหตุการณ์สำคัญบางอย่างในชีวิตส่วนตัวของผู้ใต้บังคับบัญชา (วันเกิด งานแต่งงาน ฯลฯ ) เพื่อแสดงความสนใจต่อพวกเขาและแสดงความยินดีกับพวกเขาทั้งหมดเป็นทีม การกระทำที่คล้ายกันนี้เกิดขึ้นได้ในส่วนของพนักงานเช่นกัน
นอกจากนี้ เพื่อเพิ่มการมีส่วนร่วมของพนักงานในกิจการของบริษัท จำเป็นต้องแนะนำระบบการดำเนินการที่เรียกว่า "นโยบายเปิดประตู" นี่หมายถึงความเต็มใจของผู้จัดการระดับใด ๆ ที่จะรับฟังข้อเสนอแนะของผู้ใต้บังคับบัญชา คำขวัญของนโยบายนี้คือ: “ประตูสำนักงานของฉันเปิดรอคุณอยู่เสมอ” อย่างไรก็ตาม คำถามเกิดขึ้นว่าสิ่งนี้เกี่ยวข้องกับทรัพยากรเวลาของผู้จัดการอย่างไร จะเป็นอย่างไรหากผู้ใต้บังคับบัญชาตัดสินใจว่าพวกเขาสามารถเข้าไปในห้องทำงานของเจ้านายได้ทุกเมื่อที่ต้องการ ในความเป็นจริง หากพนักงานมีงานยุ่ง พวกเขาจะเข้าเยี่ยมชมสำนักงานของผู้จัดการน้อยกว่าที่คาดไว้มาก นอกจากนี้ คุณสามารถใช้เทคนิคบางอย่างเพื่อจัดระเบียบผู้ติดต่อประเภทเหล่านี้ได้:
- ผู้จัดการสามารถกำหนดเวลาการประชุมได้ด้วยตัวเอง โดยไม่ต้องปฏิเสธพนักงานให้ฟัง แต่เลื่อนไปเป็นเวลาที่สะดวกสำหรับเขา
- การใช้รูปแบบการนำเสนอข้อมูลที่เป็นลายลักษณ์อักษรยังช่วยลดการสื่อสารกับผู้ใต้บังคับบัญชาอีกด้วย การนำเสนอแนวคิดในรูปแบบลายลักษณ์อักษรมีลักษณะที่กระชับและแน่นอน
- การประเมินและสนับสนุนข้อเสนอทางธุรกิจที่เฉพาะเจาะจง บางครั้งพนักงานเมื่อส่งไอเดีย จะต้องแนบข้อมูลที่เกี่ยวข้องจำนวนมากไปด้วย แม้ว่าคุณจะต้องระบุสาระสำคัญโดยเฉพาะก็ตาม
การเพิ่มแรงจูงใจของพนักงานด้วยวิธีกระตุ้นคุณธรรมและการแนะนำนโยบาย "เปิดประตู" ให้กับผู้บริหารทุกระดับจะช่วยเพิ่มการมีส่วนร่วมของพนักงานขององค์กรในกิจกรรมขององค์กรโดยรวมตลอดจนในการตัดสินใจของผู้จัดการ สิ่งนี้จะช่วยเพิ่มประสิทธิภาพความสัมพันธ์ภายในบริษัทด้วยวิธีการเชิงอัตนัยและวัตถุประสงค์เพื่อให้บรรลุความสมดุลในความสัมพันธ์ที่เป็นทางการและไม่เป็นทางการที่มีอยู่ในองค์กร นอกจากนี้ยังจะปรับปรุงคุณภาพของข้อมูลที่มีให้สำหรับฝ่ายบริหารและจำเป็นในการตัดสินใจ การกระตุ้นคุณธรรมยังช่วยให้พนักงานรู้สึกเชื่อมโยงกับเป้าหมายและค่านิยมขององค์กรอีกด้วย
ทิศทางที่มีแนวโน้มในการเพิ่มประสิทธิภาพของระบบแรงจูงใจบุคลากรคือการแนะนำโปรแกรมการปรับตัวของบุคลากร แม้ว่าองค์กรจะไม่มีบริการแยกต่างหากสำหรับการจัดการการปรับตัวของบุคลากร แต่พนักงานของแผนกทรัพยากรบุคคลก็สามารถดำเนินการปรับพนักงานใหม่ได้
โปรแกรมการปรับตัวคือชุดของการดำเนินการเฉพาะที่พนักงานที่รับผิดชอบในการปรับตัวจำเป็นต้องดำเนินการ โปรแกรมดัดแปลงแบ่งเป็นแบบทั่วไปและแบบพิเศษ โปรแกรมการปรับตัวทั่วไปเกี่ยวข้องกับทั้งองค์กรโดยรวม และรวมถึงประเด็นต่างๆ เช่น ความเข้าใจทั่วไปของบริษัท นโยบายองค์กร ค่าตอบแทน ผลประโยชน์เพิ่มเติม อาชีวอนามัยและความปลอดภัย สภาพการทำงานของพนักงานในองค์กร การบริการสวัสดิการ และเศรษฐกิจ ปัจจัย
โปรแกรมการปรับตัวพิเศษครอบคลุมประเด็นที่เกี่ยวข้องกับแผนกหรือสถานที่ทำงานโดยเฉพาะ และดำเนินการทั้งในรูปแบบของการสนทนาพิเศษกับพนักงานของแผนกที่ผู้มาใหม่เข้ามา และการสัมภาษณ์กับผู้จัดการ (ทันทีและหัวหน้า) แต่การจัดบทสนทนาเหล่านี้เป็นความรับผิดชอบของพนักงานแผนกทรัพยากรบุคคล ประเด็นหลักที่ต้องครอบคลุมในระหว่างโปรแกรมการเตรียมความพร้อมพิเศษ ได้แก่ หน้าที่ของหน่วยงาน หน้าที่และความรับผิดชอบ การรายงานที่จำเป็น ขั้นตอน กฎ ข้อบังคับ และการเป็นตัวแทนของพนักงานในหน่วย
ค่าจ้างเป็นส่วนที่สำคัญที่สุดของระบบการจ่ายเงินและแรงจูงใจด้านแรงงาน ซึ่งเป็นหนึ่งในเครื่องมือในการมีอิทธิพลต่อประสิทธิภาพของพนักงาน นี่คือจุดสุดยอดของระบบการสร้างแรงจูงใจด้านบุคลากรขององค์กร แต่ถึงแม้จะมีความสำคัญทั้งหมดก็ตาม ค่าจ้างในบริษัทต่างประเทศที่ประสบความสำเร็จส่วนใหญ่จะต้องไม่เกิน 70% ของรายได้ของพนักงาน ส่วนที่เหลืออีก 30% ของรายได้จะรวมอยู่ในการกระจายผลกำไร
เพื่อให้ค่าจ้างบรรลุหน้าที่จูงใจ จะต้องมีความเชื่อมโยงโดยตรงระหว่างระดับและคุณสมบัติของพนักงาน ความซับซ้อนของงานที่ทำ และระดับของความรับผิดชอบ
ระบบค่าตอบแทนเป็นที่เข้าใจกันว่าเป็นวิธีการคำนวณจำนวนค่าตอบแทนที่จะจ่ายให้กับพนักงานขององค์กรตามต้นทุนแรงงานที่เกิดขึ้นหรือผลของแรงงาน
มีสองระบบในการจัดค่าตอบแทน: ภาษีและไม่ใช่ภาษี ระบบภาษี ช่วยให้คุณสามารถเปรียบเทียบงานเฉพาะประเภทต่างๆ โดยคำนึงถึงความซับซ้อนและเงื่อนไขในการดำเนินการ เช่น คำนึงถึงคุณภาพของงาน เป็นเรื่องธรรมดาที่สุดในองค์กรในประเทศ
สิ่งที่แพร่หลายที่สุดในองค์กรที่มีรูปแบบการเป็นเจ้าของที่หลากหลายคือระบบค่าตอบแทนภาษีสองรูปแบบ:
ชิ้นงาน - สำหรับแต่ละหน่วยการผลิตหรือปริมาณงานที่ทำ
ตามเวลา - สำหรับเวลามาตรฐานที่ทำงานซึ่งกำหนดโดยระบบภาษี
ในแต่ละองค์กรโดยเฉพาะ ขึ้นอยู่กับลักษณะของผลิตภัณฑ์ การปรากฏตัวของกระบวนการทางเทคโนโลยีบางอย่าง ระดับขององค์กรการผลิตและแรงงาน มีการใช้ค่าจ้างรูปแบบใดรูปแบบหนึ่ง
ในเงื่อนไขของค่าตอบแทนตามภาษีและเงินเดือน มันค่อนข้างยากที่จะกำจัดความเท่าเทียมกันและเอาชนะความขัดแย้งระหว่างผลประโยชน์ของพนักงานแต่ละคนและทั้งทีม
พวกเขาใช้เป็นทางเลือกที่เป็นไปได้ในการปรับปรุงองค์กรและกระตุ้นแรงงาน ระบบค่าจ้างปลอดภาษี ซึ่งพบการประยุกต์ใช้ในหลายองค์กรในช่วงการเปลี่ยนผ่านสู่ภาวะเศรษฐกิจตลาด ตามระบบนี้ ค่าจ้างของพนักงานทุกคนในองค์กรตั้งแต่ผู้อำนวยการถึงพนักงานแสดงถึงส่วนแบ่งของพนักงานในกองทุนค่าจ้าง (กองทุนเงินเดือน) หรือทั้งองค์กรหรือแผนกแยกต่างหาก ภายใต้เงื่อนไขเหล่านี้ เงินเดือนที่แท้จริงของพนักงานแต่ละคนจะขึ้นอยู่กับปัจจัยหลายประการ:
ระดับคุณสมบัติของพนักงาน
อัตราการมีส่วนร่วมของแรงงาน (LCR);
เวลาทำงานจริง
ระดับคุณสมบัติของพนักงานองค์กรได้รับการกำหนดขึ้นสำหรับสมาชิกทุกคนในทีม
พนักงานทุกคนในองค์กรแบ่งออกเป็นสิบกลุ่มคุณสมบัติ โดยขึ้นอยู่กับระดับคุณสมบัติของพนักงานและข้อกำหนดคุณสมบัติสำหรับผู้ปฏิบัติงานในวิชาชีพต่างๆ สำหรับแต่ละกลุ่มจะมีการกำหนดระดับคุณสมบัติของตนเองซึ่งสามารถเพิ่มขึ้นได้ตลอดชีวิตการทำงาน ระบบระดับคุณวุฒิสร้างโอกาสที่มากขึ้นสำหรับสิ่งจูงใจด้านวัตถุสำหรับแรงงานที่มีทักษะมากกว่าระบบประเภทภาษี
KTU ออกให้กับพนักงานทุกคนขององค์กรรวมถึงผู้อำนวยการด้วย และได้รับอนุมัติจากสภากลุ่มแรงงานซึ่งตัดสินใจเองถึงความถี่ในการพิจารณา (เดือนละครั้ง, ไตรมาส ฯลฯ ) และองค์ประกอบของตัวชี้วัด สำหรับการคำนวณ
ระบบปลอดภาษีประเภทหนึ่งคือ ระบบค่าจ้างตามสัญญามุ่งเป้าไปที่การดึงดูดและรักษาบุคลากรที่มีคุณสมบัติสูงในองค์กรต่างๆ ซึ่งส่วนใหญ่เป็นผู้จัดการและผู้เชี่ยวชาญ โดยจัดตั้งทีมงานมืออาชีพที่สามารถบรรลุเป้าหมายที่สูงขึ้นได้ในสภาพแวดล้อมที่มีการแข่งขันที่ยากลำบาก โดยจะขึ้นอยู่กับข้อสรุปของข้อตกลง (สัญญา) ระหว่างนายจ้างกับ พนักงานซึ่งกำหนดสภาพการทำงาน สิทธิและหน้าที่ของคู่สัญญา ระดับของค่าตอบแทน ฯลฯ เมื่อเปรียบเทียบกับระบบภาษีศุลกากรในปัจจุบันของค่าตอบแทนในระบบเศรษฐกิจของเราในรูปแบบตามเวลาและอัตราชิ้น ระบบสัญญามีข้อได้เปรียบที่ไม่อาจปฏิเสธได้สองประการ . ประการแรก คนงานสามารถได้รับค่าจ้างในจำนวนที่มากกว่าที่กำหนดโดยเงินเดือน อัตราภาษี และราคาภายในกรอบของระบบการชำระเงินของรัฐที่มีอยู่ ประการที่สอง ระบบสัญญาทำให้การกำจัดพนักงานที่ประมาทเลินเล่อเป็นเรื่องง่ายและสะดวกโดยการยกเลิกสัญญาโดยไม่ขัดแย้งกับประมวลกฎหมายแรงงาน โดยไม่ต้องประสานงานการเลิกจ้างกับสหภาพแรงงาน ข้อได้เปรียบเหล่านี้ทำให้ระบบสัญญามีความน่าสนใจอย่างมากสำหรับองค์กรที่ต้องการเพิ่มประสิทธิภาพการผลิตอย่างมาก
สมัครรับข่าวสาร