Ang data processing center (DPC) ay isang koleksyon ng mga server na matatagpuan sa isang site upang mapataas ang kahusayan at seguridad. Kasama sa seguridad ng data center ang network at pisikal na seguridad, pati na rin ang resiliency at power reliability. Sa kasalukuyan, nag-aalok ang merkado ng malawak na hanay ng mga solusyon upang maprotektahan ang mga server at data center mula sa iba't ibang banta. Sila ay nagkakaisa sa pamamagitan ng kanilang pagtuon sa isang makitid na hanay ng mga gawain na dapat lutasin. Gayunpaman, ang hanay ng mga gawaing ito ay sumailalim sa ilang pagpapalawak dahil sa unti-unting paglilipat ng mga klasikal na sistema ng hardware sa pamamagitan ng mga virtual na platform. SA mga kilalang uri pagbabanta ( pag-atake ng network, mga kahinaan sa mga application ng operating system, malisyosong software) ay nagdagdag ng mga paghihirap na nauugnay sa pagsubaybay sa kapaligiran (hypervisor), trapiko sa pagitan ng mga guest machine at pagtatanggal ng mga karapatan sa pag-access. Pinalawak mga panloob na isyu at mga patakaran sa proteksyon ng data center, mga kinakailangan mga panlabas na regulator. Ang pagpapatakbo ng mga modernong data center sa ilang mga industriya ay nangangailangan ng pagsasara ng mga teknikal na isyu, pati na rin ang mga isyu na nauugnay sa kanilang seguridad. Ang mga institusyong pampinansyal (mga bangko, mga sentro ng pagproseso) ay napapailalim sa isang bilang ng mga pamantayan, ang pagpapatupad nito ay inilatag sa antas mga teknikal na solusyon. Ang pagtagos ng mga platform ng virtualization ay umabot sa isang antas kung saan halos lahat ng mga kumpanyang gumagamit ng mga sistemang ito ay seryosong nag-aalala sa pagpapahusay ng seguridad sa mga ito. Tandaan natin na isang taon lang ang nakalipas ang interes ay medyo theoretical.
SA modernong kondisyon Lalong nagiging mahirap na protektahan ang mga sistema at application na kritikal sa negosyo.
Ang paglitaw ng virtualization ay naging isang kagyat na dahilan para sa malakihang paglipat ng karamihan sa mga system sa mga VM, ngunit ang paglutas ng mga problema sa seguridad na nauugnay sa mga operating application sa isang bagong kapaligiran ay nangangailangan ng espesyal na diskarte. Maraming uri ng pagbabanta ang napag-aralan nang mabuti at ang mga proteksyon ay binuo para sa kanila, ngunit kailangan pa rin nilang iangkop para magamit sa cloud.

Mga kasalukuyang banta cloud computing

Ang pagkontrol at pamamahala sa cloud ay isang isyu sa seguridad. Walang mga garantiya na ang lahat ng mga mapagkukunan ng ulap ay binilang at walang hindi nakokontrol na mga virtual machine na tumatakbo. hindi kinakailangang mga proseso at ang magkaparehong pagsasaayos ng mga elemento ng ulap ay hindi naaabala. Ito uri ng mataas na antas pagbabanta, dahil ito ay may kaugnayan sa controllability ng cloud bilang isang pinag-isang sistema ng impormasyon at para dito ang pangkalahatang proteksyon ay dapat na binuo nang isa-isa. Upang gawin ito, kinakailangan na gumamit ng isang modelo ng pamamahala ng peligro para sa mga imprastraktura ng ulap.

Ang pisikal na seguridad ay batay sa mahigpit na kontrol ng pisikal na pag-access sa mga server at imprastraktura ng network. Hindi tulad ng pisikal na seguridad, ang seguridad ng network ay pangunahing tungkol sa pagbuo ng isang matatag na modelo ng pagbabanta na kinabibilangan ng proteksyon sa panghihimasok at isang firewall. Ang paggamit ng firewall ay nagsasangkot ng pagpapatakbo ng isang filter upang paghiwalayin ang mga panloob na network ng data center sa mga subnet na may iba't ibang antas ng tiwala. Ang mga ito ay maaaring magkahiwalay na mga server na naa-access mula sa Internet o mga server mula sa mga panloob na network.
Sa cloud computing mahalagang papel Ang platform ay ipinatupad ng teknolohiya ng virtualization. Upang mapanatili ang integridad ng data at matiyak ang proteksyon, tingnan natin ang mga pangunahing kilalang banta sa cloud computing.

1. Hirap sa paggalaw mga regular na server sa computing cloud

Ang mga kinakailangan sa seguridad para sa cloud computing ay hindi naiiba sa mga kinakailangan sa seguridad para sa mga sentro ng data. Gayunpaman, ang virtualization ng data center at ang paglipat sa mga cloud environment ay humahantong sa paglitaw ng mga bagong banta.
Ang pag-access sa pamamagitan ng Internet upang makontrol ang kapangyarihan ng computing ay isa sa pangunahing katangian cloud computing. Sa karamihan ng mga tradisyonal na data center, ang pag-access ng engineer sa mga server ay kinokontrol ng pisikal na antas,sa mga cloud environment na pinapatakbo nila sa Internet. Differentiation ng access control at pagtiyak ng transparency ng mga pagbabago sa antas ng sistema ay isa sa mga pangunahing pamantayan sa proteksyon.

2. Dynamics ng mga virtual machine

Ang mga virtual machine ay dynamic. Lumikha bagong sasakyan, ang pagpapahinto sa operasyon nito at pagsisimulang muli ay maaaring gawin sa maikling panahon. Naka-clone ang mga ito at maaaring ilipat sa pagitan mga pisikal na server. Ang pagkakaiba-iba na ito ay may mahirap na epekto sa disenyo ng integridad ng seguridad. Gayunpaman, ang mga kahinaan sa operating system o mga application sa isang virtual na kapaligiran ay kumakalat nang hindi makontrol at madalas na lumilitaw pagkatapos ng arbitrary na yugto ng panahon (halimbawa, kapag nag-restore mula sa isang backup). Sa cloud computing environment, mahalagang mapagkakatiwalaang makuha ang estado ng seguridad ng system, at hindi ito dapat nakadepende sa estado at lokasyon nito.

3. Mga kahinaan sa loob ng virtual na kapaligiran

Cloud computing server at mga lokal na server gumamit ng parehong mga operating system at application. Para sa mga sistema ng ulap mataas ang banta ng remote hacking o malware infection. Ang panganib para sa mga virtual system ay mataas din. Parallel mga virtual machine pinatataas ang "attack surface". Ang intrusion detection at prevention system ay dapat ma-detect malisyosong aktibidad sa antas ng virtual machine, anuman ang kanilang lokasyon kapaligiran ng ulap.

4. Protektahan ang mga idle na virtual machine

Kapag ang isang virtual machine ay naka-off, ito ay nasa panganib ng impeksyon. Ang pag-access sa virtual machine na imbakan ng imahe sa pamamagitan ng network ay sapat. Ito ay ganap na imposible na magpatakbo ng software ng seguridad sa isang shutdown virtual machine. Sa kasong ito, dapat na ipatupad ang proteksyon hindi lamang sa loob ng bawat virtual machine, kundi pati na rin sa antas ng hypervisor.

5. Proteksyon ng perimeter at paghihiwalay ng network

Kapag gumagamit ng cloud computing, lumalabo o nawawala ang perimeter ng network. Nagreresulta ito sa proteksyon ng hindi gaanong secure na bahagi ng network na tumutukoy sa pangkalahatang antas ng seguridad. Upang limitahan ang mga segment na may sa iba't ibang antas magtiwala sa cloud, dapat protektahan ng mga virtual machine ang kanilang sarili sa pamamagitan ng paggalaw perimeter ng network sa virtual machine mismo (Larawan 1.). Ang corporate firewall ay ang pangunahing bahagi para sa pagpapatupad ng mga patakaran sa seguridad ng IT at pagtukoy ng mga segment ng network, na hindi makakaapekto sa mga server na matatagpuan sa mga cloud environment.

Mga pag-atake sa mga ulap at mga solusyon upang maalis ang mga ito

1. Mga tradisyonal na pag-atake sa software

Mga kahinaan ng mga operating system, modular na bahagi, mga protocol ng network at iba pa - tradisyonal na mga banta, upang maprotektahan laban sa kung saan sapat na ang pag-install ng isang firewall, firewall, antivirus, IPS at iba pang mga bahagi na mapagpasyahan ang problemang ito. Mahalagang gumana nang epektibo ang mga tool sa proteksyong ito sa mga kondisyon ng virtualization.

2. Mga functional na pag-atake sa mga elemento ng ulap

Ang ganitong uri ng pag-atake ay nauugnay sa multi-layered na katangian ng cloud, pangkalahatang prinsipyo seguridad. Sa isang artikulo tungkol sa mga panganib ng mga ulap, ang sumusunod na solusyon ay iminungkahi: Upang maprotektahan laban sa mga functional na pag-atake, ang mga sumusunod na proteksyon ay dapat gamitin para sa bawat bahagi ng cloud: para sa mga proxy - epektibong proteksyon laban sa mga pag-atake ng DoS, para sa isang web server - kontrol sa integridad ng pahina, para sa isang server ng application - screen sa antas ng aplikasyon, para sa isang DBMS - proteksyon laban sa mga SQL injection, para sa isang sistema ng pag-iimbak ng data - tamang pag-backup(backup), kontrol sa pag-access. Indibidwal, ang bawat isa sa mga mekanismo ng pagtatanggol na ito ay nalikha na, ngunit hindi sila pinagsama-sama komprehensibong proteksyon ulap, kaya ang gawain ng pagsasama-sama ng mga ito sa pinag-isang sistema kailangang mapagpasyahan sa panahon ng paglikha ng ulap.

3. Pag-atake sa kliyente

Karamihan sa mga user ay kumokonekta sa cloud gamit ang isang browser. Sinasaklaw nito ang mga pag-atake gaya ng Cross Site Scripting, pag-hijack ng password, pag-hijack ng session sa web, pag-atake ng man-in-the-middle, at marami pang iba. Ang tanging depensa Ang ganitong uri ng pag-atake ay protektado mula sa tamang pagpapatotoo at paggamit ng isang naka-encrypt na koneksyon (SSL) na may mutual na pagpapatotoo. Gayunpaman, ang mga proteksyong ito ay hindi masyadong maginhawa at napakasayang para sa mga tagalikha ng cloud. Sa industriyang ito seguridad ng impormasyon marami pa rin ang hindi nalutas na mga problema.

4. Pag-atake sa hypervisor

Ang hypervisor ay isa sa pangunahing elemento virtual na sistema. Ang pangunahing tungkulin nito ay upang magbahagi ng mga mapagkukunan sa pagitan ng mga virtual machine. Ang isang pag-atake sa isang hypervisor ay maaaring magresulta sa isang virtual machine na ma-access ang memorya at mga mapagkukunan ng isa pa. Makaka-intercept din siya trapiko sa network, alisin ang mga pisikal na mapagkukunan at kahit na paalisin ang virtual machine mula sa server. Bilang mga karaniwang pamamaraan ng proteksyon, inirerekomenda na gumamit ng mga dalubhasang produkto para sa mga virtual na kapaligiran, pagsasama ng mga host server sa serbisyo Aktibong direktoryo Direktoryo, paggamit ng pagiging kumplikado ng password at mga patakaran sa pagtanda, pati na rin ang standardisasyon ng mga pamamaraan para sa pag-access ng mga tool sa pamamahala ng host server, gamitin ang built-in na firewall ng virtualization host. Posible rin na huwag paganahin ang gayong madalas hindi nagamit na mga serbisyo tulad ng web access sa isang virtualization server.

5. Pag-atake sa mga control system

Ang malaking bilang ng mga virtual machine na ginagamit sa clouds ay nangangailangan ng mga management system na mapagkakatiwalaang makokontrol ang paglikha, paglipat at pagtatapon ng mga virtual machine. Ang interbensyon sa control system ay maaaring humantong sa paglitaw ng mga virtual machine - mga hindi nakikita, na may kakayahang harangan ang ilang virtual machine at ilantad ang iba.

Security Threat Protection Solutions mula sa Cloud Security Alliance (CSA)

Ang pinaka-epektibong pagtatanggol sa seguridad ng ulap ay nai-publish ng Cloud Security Alliance (CSA). Matapos suriin ang impormasyong inilathala ng kumpanya, iminungkahi ang mga sumusunod na solusyon.

1. Seguridad ng data. Pag-encrypt

Ang pag-encrypt ay isa sa mga pinaka-epektibong paraan upang maprotektahan ang data. Ang provider na nagbibigay ng access sa data ay dapat na i-encrypt ang impormasyon ng kliyente na nakaimbak sa data center, at permanenteng tanggalin din ito kapag hindi kinakailangan.

2. Proteksyon ng data sa panahon ng paghahatid

Ang naka-encrypt na data sa pagpapadala ay dapat lamang ma-access pagkatapos ng pagpapatunay. Ang data ay hindi maaaring basahin o baguhin, kahit na ma-access sa pamamagitan ng hindi pinagkakatiwalaang mga node. Ang ganitong mga teknolohiya ay lubos na kilala ang mga algorithm at maaasahang mga protocol na AES, TLS, IPsec ay ginamit ng mga provider sa loob ng mahabang panahon.

3. Pagpapatunay

Authentication - proteksyon ng password. Upang matiyak ang mas mataas na pagiging maaasahan, madalas silang gumagamit ng mga paraan tulad ng mga token at sertipiko. Para sa malinaw na pakikipag-ugnayan sa pagitan ng provider at ng sistema ng pagkakakilanlan sa panahon ng awtorisasyon, inirerekomenda rin na gumamit ng LDAP (Lightweight Directory Access Protocol) at SAML (Security Assertion Markup Language).

4. Paghihiwalay ng user

Paggamit ng isang indibidwal na virtual machine at isang virtual network. Mga virtual na network dapat i-deploy gamit ang mga teknolohiya tulad ng VPN (Virtual Private Network), VLAN (Virtual Local Area Network) at VPLS (Virtual Private LAN Service). Kadalasan ang mga provider ay naghihiwalay ng data ng user sa isa't isa sa pamamagitan ng pagpapalit ng data ng code sa isang solong kapaligiran ng software. Ang diskarteng ito may mga panganib na nauugnay sa panganib ng paghahanap ng butas hindi karaniwang code, na nagpapahintulot sa iyo na ma-access ang data. Sa mga kaso posibleng pagkakamali sa code ay maaaring makuha ng user ang data ng isa pa. Kamakailan, ang mga ganitong insidente ay madalas mangyari.

Konklusyon

Ang mga inilarawang solusyon upang maprotektahan laban sa mga banta sa seguridad sa cloud computing ay paulit-ulit na ginagamit ng mga system integrator sa mga proyekto upang bumuo ng mga pribadong ulap. Pagkatapos ilapat ang mga solusyong ito, ang bilang ng mga insidenteng naganap ay makabuluhang nabawasan. Ngunit maraming mga problema na nauugnay sa pagprotekta sa virtualization ay nangangailangan pa rin ng maingat na pagsusuri at mahusay na binuo na mga solusyon. Susuriin natin ang mga ito nang mas detalyado sa susunod na artikulo. IT-GRAD

Ngayon ay pag-uusapan natin ang tungkol sa mga banta seguridad sa ulap, na isinasaalang-alang ang TOP 12 na ginagamit ng ilang organisasyon mga serbisyo sa ulap. Tulad ng alam mo, ang bilang ng mga paglilipat ng ulap ay lumalaki bawat taon, at ang isyu ng seguridad ay nananatiling seryosong paksa.

Ang unang hakbang sa pagliit ng panganib sa cloud ay ang proactive na pagtukoy sa mga pangunahing banta sa seguridad. Sa RSA conference noong Marso ngayong taon, ipinakita ng CSA (Cloud Security Alliance) ang isang listahan ng 12 cloud security threat na kinakaharap ng mga organisasyon. Tingnan natin ang mga ito nang mas detalyado.
Banta 1: Pag-leakage ng data

Ang ulap ay napapailalim sa parehong mga banta gaya ng mga tradisyonal na imprastraktura. Dahil sa malaking dami ng data na kadalasang inililipat sa clouds ngayon, nagiging mga site ng cloud hosting providers. isang kaakit-akit na layunin para sa mga nanghihimasok. Bukod dito, ang kalubhaan ng mga potensyal na banta ay direktang nakasalalay sa kahalagahan at kahalagahan ng nakaimbak na data.

Ang pagbubunyag ng personal na impormasyon ng user sa pangkalahatan ay nakakatanggap ng mas kaunting publisidad kaysa sa pagbubunyag ng mga medikal na ulat, mga lihim ng kalakalan, intelektwal na ari-arian, na nagdudulot ng malaking pinsala sa reputasyon ng isang indibidwal na kumpanya. Sa kaganapan ng isang pagtagas ng data, ang organisasyon ay nahaharap sa mga multa, demanda o kriminal na singil, pati na rin ang mga hindi direktang bahagi sa anyo ng pinsala sa tatak at pagkalugi ng negosyo, na humahantong sa hindi maibabalik na mga kahihinatnan at mahabang pamamaraan para sa pagpapanumbalik ng imahe ng kumpanya. Samakatuwid, sinusubukan ng mga cloud provider na tiyakin ang wastong kontrol at proteksyon ng data sa isang cloud environment. Upang mabawasan ang mga panganib at banta ng pagtagas ng data, inirerekomenda ng CSA ang paggamit ng multi-factor na pagpapatotoo at pag-encrypt.

Banta 2: Pagkompromiso sa Account at Pag-bypass ng Pagpapatotoo

Ang mga paglabag sa data ay kadalasang resulta ng mahinang mekanismo ng pagpapatotoo, mahinang password, at hindi magandang pamamahala ng mga susi at sertipiko ng pag-encrypt. Bukod pa rito, nahaharap ang mga organisasyon sa mga isyu sa pamamahala ng mga karapatan at pahintulot kapag mga end user ay hinirang ng higit pa O mas malaking kapangyarihan kaysa sa aktwal na kinakailangan. Ang problema ay nangyayari rin kapag ang gumagamit ay inilipat sa ibang posisyon o huminto. Ilang tao ang nagmamadaling mag-update ng mga pahintulot ayon sa mga bagong tungkulin ng user. Bilang resulta, ang account ay naglalaman ng higit pa O mas malaking kakayahan kaysa sa kinakailangan. At ito ay isang bottleneck sa mga tuntunin ng seguridad.

Inirerekomenda ng CSA ang paggamit ng mga mekanismo ng multi-factor na pagpapatotoo, kabilang ang mga minsanang password, token, smart card, at USB key. Poprotektahan nito ang mga serbisyo ng ulap, dahil ang paggamit ng mga inihayag na pamamaraan ay nagpapalubha sa proseso ng pagkompromiso sa mga password.

Banta 3: mga interface ng pag-hack at mga API

Ngayon ang mga serbisyo at application ng cloud ay hindi maiisip nang walang maginhawa user interface. Ang seguridad at kakayahang magamit ng mga serbisyo sa cloud ay nakasalalay sa kung gaano kahusay ang pagbuo ng kontrol sa pag-access at mga mekanismo ng pag-encrypt sa API. Kapag nakikipag-ugnayan sa isang third party gamit ang kanilang sarili Mga API, ang mga panganib ay tumataas nang malaki. Bakit? Dahil ito ay kinakailangan upang magbigay karagdagang impormasyon, hanggang sa username at password. Ang mga interface na mahina ang seguridad ay nagiging mga bottleneck sa mga tuntunin ng availability, pagiging kumpidensyal, integridad, at seguridad.

Inirerekomenda ng CSA ang pag-aayos ng sapat na kontrol sa pag-access, gamit ang mga tool sa seguridad at maagang pagtuklas ng pagbabanta. Ang kakayahang magmodelo ng mga pagbabanta at maghanap ng mga solusyon upang maitaboy ang mga ito ay isang karapat-dapat na pag-iwas laban sa pag-hack. Bukod pa rito, inirerekomenda ng CSA ang pagsasagawa ng mga pagsusuri sa seguridad ng code at pagpapatakbo ng mga pagsubok sa pagtagos.

Banta 4: Paghihina ng mga sistemang ginamit

Ang kahinaan ng mga system na ginamit ay isang problemang nakatagpo sa mga multi-tenant cloud environment. Sa kabutihang palad, ito ay nai-minimize sa pamamagitan ng maayos na napiling mga pamamaraan ng pamamahala ng IT, mga tala ng CSA. Pinakamahuhusay na kagawian isama ang regular na pag-scan para sa mga kahinaan, paglalapat ng pinakabagong mga patch, at mabilis na pagtugon sa mga ulat ng mga banta sa seguridad. Ayon sa mga ulat ng CSA, ang mga gastos na ginugol sa pagpapagaan ng mga kahinaan ng system ay mas mababa kumpara sa iba pang gastusin sa IT.

Ang isang karaniwang pagkakamali kapag gumagamit ng mga solusyon sa ulap sa modelong IaaS ay hindi binibigyang pansin ng mga kumpanya ang seguridad ng kanilang mga application, na naka-host sa secure na imprastraktura ng provider ng cloud. At ang kahinaan ng mga application mismo ay nagiging isang bottleneck sa seguridad ng corporate infrastructure.

Banta 5: Pagnanakaw ng Account

Nagaganap din sa cloud ang phishing, panloloko, at pagsasamantala. Ang mga pagbabanta ay idinagdag dito sa anyo ng mga pagtatangka na manipulahin ang mga transaksyon at baguhin ang data. Ang mga cloud platform ay itinuturing ng mga umaatake bilang isang field para sa pagsasagawa ng mga pag-atake. At kahit na ang pagsunod sa isang diskarte sa "pagtatanggol sa malalim" ay maaaring hindi sapat.

Kinakailangan na ipagbawal ang "pagbabahagi" ng mga account at serbisyo ng gumagamit sa kanilang sarili, at bigyang pansin din ang mga mekanismo ng pagpapatunay ng multi-factor. Mga account ng serbisyo at ang mga user account ay kailangang subaybayan na may detalyadong pagsubaybay sa mga transaksyong isinagawa. Ang susi ay upang matiyak na ang iyong mga account ay protektado mula sa pagnanakaw, inirerekomenda ng CSA.

Banta 6: Mga Malicious Insiders

Ang pagbabanta ng tagaloob ay maaaring magmula sa kasalukuyan o dating mga empleyado, mga tagapangasiwa ng system, mga kontratista o mga kasosyo sa negosyo. Ang mga nakakahamak na tagaloob ay may iba't ibang layunin, mula sa pagnanakaw ng data hanggang sa simpleng paghihiganti. Sa kaso ng cloud, ang layunin ay maaaring ganap o bahagyang sirain ang imprastraktura, makakuha ng access sa data, at iba pa. Ang mga system na direktang umaasa sa seguridad ng cloud provider ay isang malaking panganib. Inirerekomenda ng CSA na alagaan ang mga mekanismo ng pag-encrypt at kontrolin ang pamamahala ng key ng pag-encrypt. Huwag kalimutan ang tungkol sa pag-log, pagsubaybay at pag-audit ng mga kaganapan para sa mga indibidwal na account.

Banta 7: Mga Target na Cyberattack

Ang isang advanced na patuloy na pagbabanta, o naka-target na pag-atake sa cyber, ay hindi karaniwan sa mga araw na ito. Sa sapat na kaalaman at isang hanay ng mga naaangkop na tool, makakamit mo ang mga resulta. Ang isang umaatake na naglalayong magtatag at magtatag ng sarili niyang presensya sa target na imprastraktura ay hindi napakadaling matukoy. Para mabawasan ang mga panganib at maiwasan ang mga ganitong banta, gumagamit ang mga cloud service provider ng mga advanced na tool sa seguridad. Ngunit bilang karagdagan sa mga modernong solusyon, kinakailangan ang pag-unawa sa kakanyahan at likas na katangian ng ganitong uri ng pag-atake.

Inirerekomenda ng CSA ang espesyal na pagsasanay para sa mga empleyado upang makilala ang mga diskarte sa pag-atake, gumamit ng mga advanced na tool sa seguridad, magagawang maayos na pamahalaan ang mga proseso, magkaroon ng kamalayan sa mga nakaplanong aksyon sa pagtugon sa insidente, at maglapat ng mga paraan ng pag-iwas na nagpapataas sa antas ng seguridad sa imprastraktura.

Banta 8: Permanenteng pagkawala ng data

Dahil ang mga ulap ay nag-mature na, ang mga kaso ng permanenteng pagkawala ng data dahil sa service provider ay napakabihirang. Kasabay nito, ang mga umaatake, na alam ang tungkol sa mga kahihinatnan ng permanenteng pagtanggal ng data, ay naglalayong gumawa ng gayong mga mapanirang aksyon. Para makasunod sa mga hakbang sa seguridad, inirerekomenda ng mga provider ng cloud hosting na ihiwalay ang data ng user sa data ng application, na iimbak ang mga ito sa iba't ibang lokasyon. Huwag kalimutan ang tungkol sa mabisang pamamaraan backup. Ang pang-araw-araw na pag-backup at pag-imbak ng mga backup na kopya sa mga panlabas na alternatibong secure na mga site ay lalong mahalaga para sa mga cloud environment.

Bilang karagdagan, kung ang kliyente ay nag-encrypt ng data bago ito ilagay sa cloud, ito ay nagkakahalaga ng pag-aalaga nang maaga tungkol sa seguridad ng pag-iimbak ng mga susi sa pag-encrypt. Sa sandaling mahulog sila sa mga kamay ng isang umaatake, ang data mismo ay magiging available sa kanila, ang pagkawala nito ay maaaring magdulot ng malubhang kahihinatnan.

Banta 9: Kakulangan ng Kamalayan

Ang mga organisasyong lumilipat sa cloud nang hindi nauunawaan ang mga kakayahan sa cloud ay nahaharap sa mga panganib. Kung, halimbawa, ang development team ng kliyente ay hindi sapat na pamilyar sa mga feature ng cloud technologies at ang mga prinsipyo ng pag-deploy ng mga cloud application, ang mga problema sa pagpapatakbo at arkitektura ay lumitaw.
Pinapaalalahanan ka ng CSA na unawain ang paggana ng mga serbisyo sa cloud na ibinibigay ng iyong service provider. Makakatulong ito na sagutin ang tanong kung ano ang mga panganib na dadalhin ng kumpanya kapag nagtapos ng isang kasunduan sa isang hosting provider.

Banta 10: Pang-aabuso sa Mga Serbisyo sa Cloud

Maaaring gamitin ang mga ulap ng mga lehitimo at hindi lehitimong organisasyon. Ang layunin ng huli ay gumamit ng mga mapagkukunan ng ulap upang gumawa ng mga malisyosong aksyon: paglulunsad ng mga pag-atake ng DDoS, pagpapadala ng spam, pamamahagi ng nakakahamak na nilalaman, atbp. Napakahalaga para sa mga service provider na makilala ang mga naturang kalahok, kung saan inirerekomendang pag-aralan trapiko nang detalyado at gumamit ng mga tool sa pagsubaybay sa ulap.

Banta 11: Mga pag-atake ng DDoS

Bagama't mayroon ang mga pag-atake ng DoS mahabang kasaysayan, ang pagbuo ng mga teknolohiya sa ulap ay naging mas karaniwan sa mga ito. Bilang resulta ng mga pag-atake ng DoS, ang pagpapatakbo ng mga serbisyong mahalaga sa negosyo ng kumpanya ay maaaring mabagal nang husto o ganap na mahinto. Ito ay kilala na ang mga pag-atake ng DoS ay kumakain malaking bilang kapangyarihan sa pag-compute, para sa paggamit kung saan babayaran ng kliyente. Sa kabila ng katotohanan na ang mga prinsipyo ng pag-atake ng DoS ay simple sa unang tingin, kinakailangan na maunawaan ang kanilang mga partikular na tampok. antas ng aplikasyon: Target nila ang mga kahinaan sa web server at database. Ang mga cloud provider ay tiyak na mas mahusay sa pagharap sa mga pag-atake ng DoS kaysa sa mga indibidwal na kliyente. Ang susi ay magkaroon ng isang plano upang pagaanin ang isang pag-atake bago ito mangyari.

Banta 12: collaborative na teknolohiya, pangkalahatang mga panganib

Ang mga kahinaan sa mga teknolohiyang ginamit ay isang sapat na banta sa cloud. Nagbibigay ang mga cloud service provider ng virtual na imprastraktura, mga application sa ulap, ngunit kung ang isang kahinaan ay nangyayari sa isang antas, ito ay nakakaapekto sa buong kapaligiran. Inirerekomenda ng CSA ang paggamit ng isang diskarte sa malalim na seguridad, pagpapatupad ng mga mekanismo ng multi-factor na pagpapatunay, mga intrusion detection system, pagsunod sa konsepto ng network segmentation at ang prinsipyo ng hindi bababa sa pribilehiyo.

Sa unang araw ng tradisyonal na taunang RSA Conference, na nagbukas sa San Francisco, na nakatuon sa mga isyu sa seguridad, ipinakita ng Cloud Security Alliance (CSA) at Hewlett-Packard Corporation ang dokumentong “Nangungunang Mga Banta sa Cloud Computing V1.0” (“Ang pangunahing banta sa pagbuo ng cloud computing”). Ito ay pinagsama-sama batay sa mga resulta ng pananaliksik at naka-address sa parehong cloud service provider at kanilang mga user. Napansin din namin na ang mga kinatawan ng ilang kilalang kumpanya ay nag-ambag sa paghahanda nito, kabilang ang Bank of America, CloudSecurity.org, HP, Microsoft, Rackspace, Oracle, Trend Micro, Verizon Business, atbp., kaya hindi na kailangang pag-usapan ang tungkol sa espesyal na interes ng sinuman sa kasong ito.

Ang V1.0 index sa pamagat ng dokumento ay nagbibigay-diin na ang unang bersyon ay inilabas, na ia-update sa paglipas ng panahon. Tulad ng tala ng mga may-akda, medyo nagkaroon ng debate tungkol sa kung ano ang dapat saklawin sa unang bersyon, ngunit sa huli ay napagpasyahan na tumuon sa mga natatanging banta na likas sa cloud computing, pati na rin ang mga makabuluhang nagpapataas ng kanilang kahalagahan dahil sa mga katangiang katangian pag-aayos ng kapaligiran sa ulap. Anong uri ng mga banta ito?

1. Pang-aabuso at foul play kapag gumagamit ng cloud resources

Sa pamamagitan ng pag-akit sa mga customer na may mga pangako ng walang limitasyong mga mapagkukunan ng computer at network at mga kakayahan sa pag-iimbak ng data, ang mga provider ng IaaS ay nag-aalok sa kanila ng napaka simpleng pamamaraan pagpaparehistro (magagawa ito ng sinumang may wastong credit card), at madalas ang pagkakataon libreng pagsubok mga serbisyo sa loob ng isang yugto ng panahon. Sa pamamagitan ng pag-abuso sa comparative anonymity ng procedure para sa pagpaparehistro at paggamit ng cloud resources, ang mga spammer, may-akda ng malisyosong code at iba pang mga attacker ay may pagkakataon na gumamit ng mga serbisyo ng cloud para sa kanilang sariling mga layunin nang walang parusa. Dati, higit sa lahat ang mga provider ng PaaS ang nahaharap sa ganitong uri ng "problema," ngunit ngayon ay naging malinaw na ang mga service provider ng IaaS ay lalong nagiging target para sa mga umaatake. Sa hinaharap, maaari nating asahan na ang kanilang mga mapagkukunan ay magagamit sa pag-crack ng mga password at key, pag-atake ng DDoS, pag-host ng mga malisyosong code, pagbuo ng mga tinatawag na rainbow table at CAPTCHA bypass tool.

Sa partikular, dahil ito ay itinatag, ang mga serbisyo ng IaaS ay ginamit upang mabuo ang Zeus botnet, ipamahagi ang InfoStealer Trojan at mga pagsasamantala para sa mga aplikasyon. Microsoft Office At Adobe PDF. At bilang resulta ng pagkontra sa pagkalat ng spam, sila ay na-blacklist buong bloke mga address ng network Mga provider ng IaaS.

2. Mga Insecure na Interface at API

Upang magtrabaho sa mga serbisyo ng cloud, ang mga provider ay nagbibigay sa mga kliyente ng mga espesyal na interface ng software at mga API. Ang seguridad ng serbisyo mismo ay higit na nakadepende sa kung paano nagpapatupad ang mga tool na ito ng mga hakbang sa seguridad ng impormasyon (pagpapatotoo, kontrol sa pag-access, pag-encrypt, pagsubaybay sa aktibidad). Ang problema ay nagiging mas kumplikado kung, batay sa cloud resources ng isang provider, ang isang third-party na kumpanya ay bubuo at nag-aalok ng mga karagdagang serbisyo at responsibilidad sa customer para sa mga hakbang sa seguridad ay lumabas na ibinahagi. Kaya bago ka magsimulang gumamit ng mga serbisyo sa cloud, dapat mong tiyakin na ang mga tool na inaalok ng provider ay ligtas, upang hindi mailantad ang iyong kumpanya sa hindi makatarungang mga panganib.

3. Insider Attackers

Ang mga banta ng tagaloob ay nagdudulot ng panganib sa anumang kumpanya, ngunit para sa mga gumagamit ng mga serbisyo sa cloud ay tumataas ang mga ito nang maraming beses, dahil ang mga serbisyong ibinibigay sa iba't ibang mga customer ay batay sa isang solong, mahigpit na pinagsamang imprastraktura ng IT, at ang mga proseso at pamamaraan para sa pamamahala nito na ipinatupad ng provider ay higit na malabo. Sa partikular, maaaring hindi ibunyag ng provider kung paano limitado ang pag-access ng mga empleyado nito sa pisikal at virtual na mga mapagkukunan ng IT, kung paano inorganisa ang kontrol sa mga aktibidad ng mga empleyado, kung paano natutugunan ang mga kinakailangan ng mga awtoridad sa regulasyon, atbp. Bilang resulta, isang napaka maaaring lumitaw ang paborableng sitwasyon para sa iba't ibang uri ng mga umaatake , pang-industriya na paniniktik o kahit na hindi gustong interbensyon ng gobyerno. Ang mga kahihinatnan para sa gumagamit ng serbisyo sa kasong ito ay maaaring maging napakaseryoso, kapwa sa mga tuntunin ng imahe at pinansyal.

4. Pagbabahagi ng mga mapagkukunan

Tinitiyak ng mga provider ng IaaS ang epektibong scalability ng kanilang mga serbisyo dahil sa katotohanan na ang mga serbisyong ito ay nakabatay sa isang imprastraktura ng IT, na ang mga mapagkukunan ay maaaring muling ipamahagi sa pagitan ng mga customer. Gayunpaman, maraming bahagi ng naturang imprastraktura (sa partikular, Mga GPU, memorya ng cache mga sentral na yunit ng pagproseso atbp.) ay idinisenyo nang hindi isinasaalang-alang ang pangangailangan para sa mahigpit na paghihiwalay ng mga mapagkukunang inilalaan iba't ibang mga gumagamit. Ang problemang ito ay nalutas sa tulong ng mga hypervisors, na bumubuo ng isang intermediate na layer sa pagitan ng guest OS at ng mga pisikal na bahagi, gayunpaman, ang mga hypervisors ay mayroon ding kanilang mga kakulangan, kaya naman hindi laging posible para sa guest OS na makakuha ng hindi katanggap-tanggap na antas ng kontrol sa hardware. Upang maiwasan ang mga gumagamit ng serbisyo na makapasok sa "banyagang" teritoryo, ang mga hakbang sa seguridad ay dapat sumasakop sa lahat ng antas ng imprastraktura ng IT at tiyakin ang maaasahang pagsubaybay sa paggamit ng computing at mga bahagi ng network at mga sistema ng imbakan.

5. Pagkawala o pagtagas ng data

At kapag gumagamit ng tradisyunal na imprastraktura, maraming mga sitwasyon ang lumitaw na puno ng pagkawala o pagnanakaw ng data (halimbawa, kapag ang mga file ay maagang natanggal, ang mga backup na kopya nito ay hindi pa nagagawa sa panahon ng isang naka-iskedyul na backup na pamamaraan, kapag ang mga data encryption key ay nawala, atbp.). Kapag gumagamit ng cloud infrastructure, ang posibilidad ng mga naturang insidente at kompromiso sa data ay maaaring mas mataas dahil sa pangunahing pagkakaiba naturang imprastraktura mula sa tradisyonal o, mas masahol pa, dahil sa ilang arkitektura o mga katangian ng pagpapatakbo tiyak na kapaligiran sa ulap.

6. Hindi awtorisadong paggamit ng account o serbisyo

Ang mga kaso kapag ang mga account at serbisyo, bilang karagdagan sa kanilang may-ari, ay ginagamit din ng mga umaatake na nagawang magnakaw ng mga kredensyal ay hindi nangangahulugang bihira - ang ganitong uri ng banta ay kabilang sa mga pinakakaraniwan ngayon. Ang sitwasyon ay higit pang pinalala ng katotohanan na madalas na ginagamit ng mga gumagamit iba't ibang serbisyo ang parehong mga password. Ang mga solusyon sa ulap ay nagdaragdag ng sarili nilang mga kulay sa madilim na larawang ito. Kung ang isang attacker ay nakakuha ng access sa isang cloud user account, kung gayon siya ay may kakayahang subaybayan ang mga transaksyon ng user, manipulahin ang data, i-redirect ang mga kliyente sa iba pang mga site, atbp. Upang maiwasan ito, ang service provider ay dapat gumamit ng maaasahang mga teknolohiya sa pagpapatunay, mahigpit na mga patakaran sa seguridad at makapangyarihang mga tool sa pagsubaybay sa proseso.

7. Hindi alam na antas ng mga panganib

Ang mga serbisyo sa cloud ay talagang kaakit-akit sa mga kumpanya dahil pinapayagan nila silang bawasan ang kanilang hardware at software at tumutok sa iyong sariling negosyo. Gayunpaman, kahit na sa kasong ito, ang mga isyu sa seguridad ay dapat manatili sa harapan. Napapanahong pag-install ng mga update, pagsunod sa mga patakaran sa seguridad, accounting para sa mga nakitang kahinaan ng software, pagtukoy ng mga pagtatangka ng hindi awtorisadong pag-access sa mga mapagkukunan ng korporasyon- lahat ng mga kumpanyang ito ay dapat na palaging isaisip. At sa anumang kaso ay hindi ka makakalampas sa isang minimum na hanay ng mga hakbang - maaaring hindi ito sapat upang manatiling nakalutang.

Ano ang kailangang malaman ng iyong organisasyon tungkol sa seguridad sa cloud

Pangkalahatang impormasyon

Tinawag ng isa sa mga nangungunang analyst sa Gartner ang cloud computing na "phrase of the day." Alam ng sinumang gumugol ng anumang oras sa teknolohiya ng impormasyon (IT) na ang pariralang ito ay malamang na patuloy na may kaugnayan sa malapit na hinaharap. Sa katunayan, hinuhulaan ni Gartner na ang cloud computing market ay aabot sa $150 bilyon sa pagtatapos ng 2013. Hinulaan din ni Merrill Lynch na ang merkado ay sasabog sa $160 bilyon sa 2013.

Ang dahilan kung bakit napakapopular ang cloud computing ay dahil sa ang katunayan na ito ay idinisenyo upang magbigay ng pagtitipid ng mapagkukunan at pagtitipid sa gastos. Sa pamamagitan ng paglipat ng software, mga mapagkukunan ng imbakan, email atbp., ang mga organisasyon ay nakakapaglaan lamang ng mga mapagkukunan sa lawak na kinakailangan para sa mga nauugnay na serbisyo. espasyo sa imbakan, kapangyarihan sa pag-compute, memorya, at maging ang mga lisensya ay hindi na basta-basta naghihintay para sa mga operasyon na maisagawa. Ang mga mapagkukunang ito ay ginagamit at binabayaran kung kinakailangan. Ang ipinapakita ay isang diagram ng isang cloud environment mula sa Wikimedia Commons.

Figure 1. Cloud environment diagram

Inaasahan ng mga organisasyon teknolohiya ng ulap kahit tipid sa mga tauhan. Outsourcing ng mga serbisyo sa IT mga tagapagbigay ng ulap, nagagawa ng mga organisasyon na palayain ang mga kawani ng IT na tumuon lamang sa mga proyektong nagtutulak sa negosyo, sa halip na mag-aksaya ng oras sa pagpapanatili ng mga serbisyong maaaring pamahalaan ng mga cloud provider.

Sa lahat ng mga pagkakataong ito sa pagbabawas ng gastos, mahirap maunawaan kung bakit minsan ay nag-aatubili ang mga organisasyon na ilipat ang kanilang data, software, at iba pang mga serbisyo sa cloud—hanggang sa isaalang-alang mo ang mga panganib sa seguridad na kaakibat ng paggawa nito. Ayon sa karamihan ng mga survey, ang seguridad ang pangunahing dahilan kung bakit nag-aalangan ang mga lider ng IT na lumipat patungo sa mga solusyon sa ulap. Nalaman ng isang kamakailang survey sa LinkedIn na 54% ng 7,053 na respondent ang nagbanggit ng seguridad bilang kanilang pangunahing alalahanin pagdating sa cloud migration.

Tulad ng anumang serbisyo sa IT, ang cloud ay may mga kahinaan sa seguridad na sinusubukang matuklasan ng mga umaatake. Gayunpaman, habang ang mga propesyonal sa IT ay nagiging mas may kamalayan sa mga kahinaang ito at kung paano pagaanin ang mga ito, ang kapaligiran ng ulap ay nagiging isang mas ligtas na lugar. Sa katunayan, ang mga piniling lumipat sa cloud ay nakaranas ng pinahusay na seguridad, bilang ebidensya ng 57% ng mga respondent sa isang survey na isinagawa ng Mimecast. Ang dahilan kung bakit kumpiyansa ang karamihan sa mga kalahok sa pag-aaral na ito sa seguridad ng cloud computing ay dahil naiintindihan nila ang mga banta at natutunan nilang pagaanin ang mga ito.

Maikling binabalangkas ng artikulong ito ang ilan sa mga pinakakaraniwang panganib sa seguridad na nauugnay sa cloud computing at nagbibigay ng mga hakbang na maaaring gawin ng iyong organisasyon upang mabawasan ang mga panganib na ito.

Nakabahaging mapagkukunan ng teknolohiya

Maaaring hatiin ang mga cloud environment sa apat na kategorya ayon sa apat na modelo ng deployment na nakalista at inilarawan sa.

Talahanayan 1. Mga modelo ng cloud deployment

Sa pribado at komunidad na mga modelo ng ulap, at sa ilang lawak sa hybrid na modelo, maraming iba't ibang mga customer ang nagbabahagi ng mga mapagkukunan gamit ang virtualization. Ang nasabing computing platform ay may mga sumusunod na potensyal na kahinaan:

• Palitan ng data sa pagitan ng iba't ibang virtual machine o sa pagitan ng virtual machine at host gamit ang mga shared disk, virtual switch, o virtual local area network (VLAN) at shared I/O subsystem o cache.
• Mga karaniwang driver na tumutulad sa hardware.
• Mga kahinaan sa hypervisor na nagpapahintulot sa arbitrary na code na isagawa sa host na may mga pribilehiyo ng hypervisor, na nagbibigay sa isang attacker ng kakayahang kontrolin ang lahat ng virtual machine at ang host mismo.
• Naka-on ang mga rootkit mga virtual machine, na nagbibigay-daan sa iyong gumawa ng mga pagbabago sa mga tawag sa system hypervisor sa host operating system upang magsagawa ng malisyosong code.
• Ang kahinaan na kilala bilang "Pagtakas mula sa isang virtual machine", kapag ang isang programa sa isang virtual machine ay binigyan ng walang limitasyong pag-access sa host sa pamamagitan ng nakabahaging mapagkukunan.
• Pag-atake ng pagtanggi sa serbisyo sa isang virtual machine na nag-crash sa iba pang virtual machine na tumatakbo sa parehong host.

Ang unang hakbang na dapat gawin upang maprotektahan laban sa mga kahinaang ito ay ang pag-unawa sa kapaligiran kung saan ka nagpapatakbo. Kung ang iyong data o iba pang mga mapagkukunan ay nangangailangan ng isang secure na kapaligiran upang sumunod sa mga batas, pamantayan, o mga regulasyon sa industriya, dapat na matugunan ng diskarte na iyong gagawin ang mga kinakailangang iyon, habang binibigyang pansin ang uri ng kapaligiran na iyong ginagamit. Para sa ganoong sitwasyon, tiyak na mas gusto ang isang pribadong cloud-based na solusyon, o marahil ay isang uri ng hybrid na solusyon kung saan ang sensitibong data, transaksyon at serbisyo ay nasa pribadong seksyon, na nagpapahintulot sa iyong organisasyon na magkaroon ng mas maraming posibilidad para sa seguridad at pamamahala ng pag-access.

Susunod, kailangan mong suriin ang cloud provider. Alamin kung anong mga hakbang ang kinakailangan upang maprotektahan ang mga kahinaan na ito, lalo na kaugnay ng hypervisor. Alamin kung anong virtualization software ang ginagamit ng vendor at kung ano ang kanilang iskedyul ng pag-patch at pag-update. Suriin kung gumagamit ang host ng anumang pinagkakatiwalaang module ng platform na lumilikha relasyong tiwala na may hypervisor upang maiwasan ang mga hindi awtorisadong pagbabago.

Bukod pa rito, dapat mong tiyakin na ang hypervisor ay naka-configure upang makita ang matinding pagkonsumo ng mapagkukunan upang maprotektahan laban sa pagtanggi sa mga pag-atake ng serbisyo.

Pagkawala at pagtagas ng data

Sa artikulong "Data Leakage Prevention at Cloud Computing," sinabi ng KPMG LLP: "Kapag ang data ay nasa pampublikong cloud, ang mga deployment ng DLP ng iyong organisasyon ay magiging walang halaga dahil hindi na sila makakatulong sa pagprotekta sa privacy ng data na ito. Gayunpaman, walang direktang kontrol ang iyong organisasyon sa privacy ng data nito sa pampublikong cloud sa alinman sa modelo ng paghahatid ng software-as-a-service (SaaS) o platform-as-a-service (PaaS). Link sa buong teksto Ang artikulo ay ibinigay sa seksyon.

Ano ang maaari mong gawin upang maiwasan ang mga paglabag sa data sa cloud kapag ang US Health Insurance Portability and Accountability Act of 1996 (HIPAA) at ang Payment Card Industry Data Security Standard (PCI DSS) ay nangangailangan ng mga organisasyon na seryosohin ang seguridad ng data?

Tila ang pinakamahusay na solusyon ay ang bumaling sa mga produkto ng pag-iwas sa pagtagas ng data na magagamit sa merkado. Gayunpaman, ang mga produktong ito ay idinisenyo upang matiyak ang integridad at kakayahang magamit ng data, hindi proteksyon ng data. Bukod pa rito, hindi maaaring i-deploy ang mga solusyong ito sa isang kapaligiran kung saan hindi mo pinamamahalaan ang imprastraktura.

Samantala, ang susi sa tagumpay sa pagpigil sa pagtagas ng data ay ang "patigasin" ang mga system na nag-iimbak at nagdadala ng data.

Una sa lahat, kapag pinag-uusapan natin patungkol sa pangangasiwa ng iyong data, ang cloud provider ay dapat gumamit ng high-strength encryption kapwa sa pahinga at sa panahon ng paghahatid. Kailangan mo ring gumawa ng mga hakbang upang matiyak na mayroong nilagdaang kasunduan sa antas ng serbisyo sa pagitan ng iyong organisasyon at ng cloud service provider, na malinaw na tumutukoy sa mga tungkulin at responsibilidad para sa pagprotekta ng data sa cloud. Dapat hilingin ng kasunduang ito na sirain ng cloud service provider ang data sa patuloy na media bago ito ilabas sa pool.

Ang isa pang hakbang upang matiyak na ang iyong organisasyon ay sumusunod sa PCI DSS ay ang pagkakaroon ng maayos na na-configure na Web application firewall upang maprotektahan ito mula sa iba't ibang mga pag-atake. Bago magpasya sa anumang SaaS service provider, dapat suriin ng IT department ng iyong organisasyon ang antas ng seguridad na available sa mga Web application. Kung pinahihintulutan, dapat kang magsagawa ng penetration test upang subukan ang tamper protection ng lahat ng application na ginagamit ng iyong kumpanya.

Panghuli, kailangan mong gumawa ng mga hakbang upang maprotektahan laban sa mga pagtagas ng cloud data sa loob ng iyong organisasyon, ngunit pagdating sa data, nangangailangan ito ng pagbabago ng mga patakaran. Ang mga organisasyong nag-aalala tungkol sa mga paglabag sa data ay dapat na may mga patakarang inilagay upang pag-uri-uriin ang data at magtakda ng mga pamantayan para sa kung paano pangasiwaan ang data ng iba't ibang antas ng sensitivity. Sa madaling salita, ang ilang data ay maaaring hindi nilalayong maimbak sa cloud.

Mga hindi secure na API

Upang paganahin ang mga kliyente na makipag-ugnayan sa mga serbisyo ng cloud, gumagamit ang mga service provider ng mga interface programming ng aplikasyon(API). Ang mga interface na ito ay ginagamit para sa pagbibigay ng serbisyo, pamamahala, orkestrasyon, at pagsubaybay, kaya ang pangunahing seguridad ng mga serbisyong ibinibigay sa cloud ay nakasalalay sa kung gaano kahusay na nase-secure ang mga API na ito.

Anonymous na pag-access at magagamit muli na mga token o password, bukas na mga pamamaraan pagpapatotoo at paglilipat ng nilalaman, pati na rin ang hindi nababaluktot na mga kontrol sa pag-access at hindi sapat na awtorisasyon, lahat ay nagdudulot ng malubhang panganib sa seguridad. Idagdag dito ang limitadong kakayahan sa pagsubaybay at pag-log na magagamit sa mga kliyente, at maaaring mukhang ang mga kliyente ay talagang nasa awa ng mga service provider pagdating sa kung sino ang may access sa mga mapagkukunang binabayaran ng mga kliyente.

Bukod pa rito, may problema sa mga ginawang API ikatlong partido. Bagama't ang mga interface na ito ay kadalasang idinisenyo upang magbigay ng mga karagdagang serbisyo sa mga kliyente, ang mga naturang karagdagan ay hindi palaging napapailalim sa parehong antas ng pagsisiyasat at pagsusuri, pagdaragdag ng isa pang layer ng pagiging kumplikado sa pinagbabatayan na API at pagtaas ng panganib ng mga paglabag sa seguridad. Bilang karagdagan, ang mga API mga developer ng third party maaaring kasangkot ang pagbubunyag ng mga kredensyal ng organisasyon, kung minsan nang hindi nila nalalaman, upang ma-access ang mga serbisyong ibinigay ng isang partikular na API.

Ang pagtugon sa mga panganib na ito ay pangunahing nangangailangan ng pagsusuri at pagsusuri sa modelo ng seguridad ng cloud vendor upang matiyak na ginagawa ng vendor ang lahat ng kinakailangan upang ma-secure ang mga API na ito.

Dapat maingat na suriin ng iyong organisasyon ang pagpapatotoo at mga kontrol sa pag-access at tiyaking naka-encrypt ang mga paglilipat ng data. Bukod pa rito, bago pumasok sa anumang kasunduan, dapat mong suriin ang iyong dependency chain at tiyaking alam mo ang lahat ng API at ang kanilang mga kinakailangan.

Pagnanakaw at hindi awtorisadong paggamit ng mga account

Bagama't ang karamihan sa mga kahinaan na tinalakay ay nasa balikat ng cloud provider, ang pasanin ng pagtugon sa buong hanay ng mga banta mula sa pagnanakaw at hindi awtorisadong paggamit ng mga account at serbisyo ay pantay na ibinabahagi sa pagitan ng service provider at ng customer.

Bagama't mga kahinaan software maaaring gawing posible para sa isang umaatake na maharang ang impormasyon ng account sa pinagmulan, hindi ito ang pinakakaraniwang paraan upang magnakaw ng mga kredensyal ng user. Kadalasan, kinikidnap ng mga kriminal impormasyon sa accounting mga user sa pamamagitan ng pag-atake ng phishing, pag-eavesdrop gamit ang malware at panloloko. Dahil madalas na muling ginagamit ng mga tao ang parehong mga username at password sa iba't ibang uri ng mga serbisyo, kadalasang nalaman ng mga umaatake na madali at mabilis nilang nakawin ang mga kredensyal. Ito ay maaaring ibang serbisyo na ginagamit ng biktima sa labas ng system ng cloud provider. Sa pamamagitan ng pagkuha ng magagamit muli na mga kredensyal ng isang user, maaaring ikompromiso ng isang umaatake ang integridad at pagiging kumpidensyal ng data na nakaimbak sa cloud. Maaari pa ngang gamitin ng mga umaatake ang parehong mga kredensyal na ito upang maglunsad ng mga pag-atake sa ibang mga organisasyon, na maaaring magdulot ng malubhang pinsala sa reputasyon ng iyong kumpanya.

Bilang karagdagan sa pag-unawa sa mga patakaran sa seguridad ng iyong cloud provider, dapat ding ipatupad ng iyong organisasyon ang ilang aktibong pagsubaybay sa paggamit ng serbisyo sa cloud upang masubaybayan ang hindi awtorisadong pag-access at hindi awtorisadong aktibidad.

Ang pagpapatupad ng mga patakaran na nagpapatupad ng mga natatanging kredensyal sa pag-log in at malalakas na password ay nakakatulong din na maiwasan ang mga kahinaan dahil sa muling paggamit ng impormasyon ng user. Ang dalawang-factor na paraan ng pagpapatotoo ay nakakatulong sa higit pang pagbawas sa posibilidad ng mga ganitong uri ng pag-atake.

Pananakot sa loob

Karaniwan, ang mga organisasyon ay gumagawa ng makabuluhang pagsisikap upang suriin ang integridad ng mga empleyado bago sila kunin o bigyan sila ng access sa ilang partikular na impormasyon. Pagdating sa mga tagapagbigay ng serbisyo sa ulap, mayroong maliit na transparency sa mga proseso at pamamaraan na namamahala sa kanilang mga empleyado.

Ang mga serbisyo ng outsourcing sa isang cloud provider ay karaniwang nangangahulugan na wala kang ideya kung sino ang may access (pisikal at virtual) sa mga mapagkukunan ng iyong organisasyon. Pinapanatili ng mga tagapagbigay ng serbisyo ng cloud sa kadiliman ang mga customer tungkol sa kung paano nila sinusubaybayan ang kanilang mga empleyado, kung paano nila sinusuri ang pagsunod sa patakaran, at kung paano sila nag-uulat tungkol dito.

Ang kakayahang magtrabaho sa kumpidensyal at pinansyal na data ay talagang kaakit-akit sa mga hacker at corporate spy. Nagtatrabaho sa isang kumpanyang nagbibigay mga serbisyo sa ulap, ay maaaring pahintulutan ang gayong umaatake na kumita mula sa pagbebenta ng kumpidensyal na data o pagkuha ganap na kontrol sa mga serbisyo ng ulap na may kaunti o walang panganib.

Upang magsimula, kailangang maunawaan ng mga customer kung anong mga hakbang ang ginagawa ng mga service provider para matukoy at maprotektahan laban sa mga malisyosong insider. Hindi ka lang dapat humiling ng transparency pagdating sa seguridad ng impormasyon at mga kasanayan sa pamamahala, ngunit dapat mo ring malaman kung anong proseso ng pag-uulat ang nasa lugar kung sakaling magkaroon ng mga paglabag sa seguridad. Kung hindi katanggap-tanggap ang timing o proseso ng notification, dapat kang maghanap ng ibang service provider.

Konklusyon

Nag-aalok ang Cloud computing ng ilang napakakaakit-akit na pagkakataon upang mapabuti ang kahusayan ng pakikipagtulungan, malayo at distributed na trabaho at upang mabawasan ang mga gastos. Habang ang paglipat sa cloud ay may sarili nitong mga panganib, ang mga panganib na ito ay hindi mas malaki kaysa sa mga nauugnay sa mga serbisyo sa pagho-host sa loob. Ang pangunahing pagkakaiba ay ang cloud ay nagbibigay ng bagong attack surface para sa mga attacker.

Kung maglalaan ka ng oras upang maunawaan kung anong mga kahinaan ang umiiral sa cloud environment at kung ano ang maaari mong gawin upang pigilan ang mga umaatake mula sa pagsasamantala sa mga kahinaang iyon, ang mga serbisyo sa cloud ay maaaring maging kasing-secure ng anumang iba pang serbisyong ibinibigay sa mga lugar o distributed network iyong organisasyon.