Le cloud computing désigne collectivement un vaste pool de ressources virtualisées facilement utilisables et facilement accessibles (telles que des systèmes matériels, des services, etc.). Ces ressources peuvent être réaffectées dynamiquement (mises à l'échelle) pour s'adapter à une charge changeante de manière dynamique, garantissant une utilisation optimale des ressources. Ce pool de ressources est généralement fourni sur une base de paiement à l'utilisation. Dans le même temps, le propriétaire du cloud garantit la qualité de service sur la base de certains accords avec l'utilisateur.
Conformément à tout ce qui précède, les principales caractéristiques suivantes du cloud computing peuvent être distinguées:
1) le cloud computing est un nouveau paradigme pour fournir des ressources informatiques;
2) les ressources d'infrastructure de base (ressources matérielles, systèmes de stockage de données, logiciel système) et les applications sont fournies en tant que services;
3) ces services peuvent être fournis par un fournisseur indépendant pour des utilisateurs externes sur une base de paiement à l'utilisation, les principales caractéristiques du cloud computing sont la virtualisation et l'évolutivité dynamique;
4) les services cloud peuvent être fournis à l'utilisateur final via un navigateur Web ou via une API spécifique (Application Programming Interface).
Le modèle général de cloud computing comprend une partie externe et une partie interne. Ces deux éléments sont connectés sur un réseau, dans la plupart des cas sur Internet. Grâce à la partie externe, l'utilisateur interagit avec le système; la partie interne est en fait le nuage lui-même. La partie extérieure se compose de ordinateur client ou un réseau d'ordinateurs et d'applications d'entreprise utilisés pour accéder au cloud. La partie interne est représentée par des applications, des ordinateurs, des serveurs et des magasins de données qui créent un nuage de services grâce à la virtualisation (Fig. 1).
Lorsque des machines virtuelles physiques (VM) existantes sont déplacées du centre de données vers des clouds externes ou la fourniture de services informatiques en dehors du périmètre sécurisé dans des clouds privés, le périmètre du réseau devient complètement dénué de sens et le niveau de sécurité global devient plutôt bas.
Si dans les datacenters traditionnels, l'accès des ingénieurs aux serveurs est strictement contrôlé au niveau physique, alors dans le cloud computing, l'accès des ingénieurs se fait via Internet, ce qui conduit à l'apparition de menaces correspondantes. Par conséquent, un contrôle d'accès strict pour les administrateurs est essentiel, ainsi que le contrôle et la transparence des modifications au niveau du système.
Les machines virtuelles sont dynamiques. La volatilité des machines virtuelles rend très difficile la création et la maintenance d'un système de sécurité cohérent. Les vulnérabilités et les erreurs de configuration peuvent se propager de manière incontrôlable. De plus, il est très difficile d'enregistrer l'état de la protection à un moment donné pour un audit ultérieur.
Les serveurs de cloud computing utilisent le même système d'exploitation et les mêmes applications Web que les serveurs virtuels et physiques sur site. En conséquence, pour les systèmes cloud, la menace de piratage à distance ou d'infection par des logiciels malveillants est tout aussi élevée.
Une autre menace est la menace pour l'intégrité des données: compromission et vol de données. L'intégrité du système d'exploitation et des fichiers d'application, ainsi que l'activité interne, doivent être surveillées.
L'utilisation de services cloud multi-locataires rend difficile le respect des exigences des normes et des lois, y compris les exigences relatives à l'utilisation d'outils cryptographiques, pour protéger une information importantcomme des informations sur le propriétaire d'une carte de crédit et des informations identifiant une personne. Cela donne lieu à la tâche ardue d'assurer protection fiable et un accès sécurisé aux données sensibles.
Sur la base de l'analyse des menaces possibles dans le cloud computing, une éventuelle protection de sécurité intégrée matérielle et logicielle du cloud computing est proposée, qui comprend 5 technologies: pare-feu, détection et prévention des intrusions, contrôle de l'intégrité, analyse des journaux et protection contre les logiciels malveillants.
Les fournisseurs de cloud computing utilisent la virtualisation pour fournir à leurs clients un accès à des ressources informatiques à faible coût. Dans le même temps, les VM clientes partagent les mêmes ressources matérielles, ce qui est nécessaire pour atteindre la plus grande efficacité économique. Les entreprises clientes intéressées par le cloud computing pour étendre leur infrastructure informatique interne doivent prendre en compte les menaces que représente une telle décision. Outre les mécanismes traditionnels de protection du réseau des centres de traitement de données, il convient également d'utiliser des approches de sécurité telles que: pare-feu de périphérie, zones démilitarisées, segmentation du réseau, surveillance de l'état du réseau, systèmes de détection et de prévention des intrusions, mécanismes de protection des données logicielles sur les serveurs de virtualisation ou sur les serveurs eux-mêmes. VM, car avec le transfert de VM vers les services de cloud public, le périmètre réseau d'entreprise perd progressivement son sens et les nœuds les moins protégés commencent à affecter de manière significative le niveau global de sécurité. C'est l'impossibilité de séparer physiquement et d'utiliser le matériel de sécurité pour repousser les attaques entre VM qui conduit à la nécessité de placer le mécanisme de protection sur le serveur de virtualisation ou sur les VM elles-mêmes. La mise en œuvre d'une méthode de protection complète sur la machine virtuelle elle-même, y compris la mise en œuvre logicielle du pare-feu, la détection et la prévention des intrusions, le contrôle de l'intégrité, l'analyse des journaux et la protection contre les codes malveillants, est le moyen le plus efficace de protéger l'intégrité, la conformité aux exigences réglementaires et la conformité aux politiques de sécurité lors du déplacement des ressources virtuelles du réseau interne au cloud.
Littérature:
1. Radchenko G.I. Distribué systèmes informatiques // Didacticiel. - 2012, p. 146-149.
2. Kondrashin M. Sécurité du cloud computing // Storage News. - 2010. - N ° 1.
Entretien avec Alexey Berdnik, responsable des projets du département pour le travail avec les clients stratégiques chez Digital Design
L'émergence de la virtualisation est devenue une raison urgente pour la migration à grande échelle de la plupart des systèmes vers machines virtuelles... Cependant, il n'y a aucune garantie que toutes les ressources du cloud sont comptées, et il n'y a pas de machines virtuelles non surveillées, de processus inutiles en cours d'exécution ou de configuration mutuelle des éléments du cloud n'est pas interrompue. Quelles sont les menaces pesant sur le cloud computing et comment les prévenir?
- Il s'agit d'un type de menace de haut niveau en ce qui concerne la gérabilité du cloud en tant que système d'Information, et sa protection générale doit être construite individuellement. Cela nécessite un modèle de gestion des risques basé sur le cloud.
Dans le cloud computing, la technologie de virtualisation joue un rôle de plateforme critique. Les menaces connues pour le cloud computing incluent la difficulté de déplacer les serveurs cloud vers le cloud de calcul. Dans la plupart des centres de données traditionnels, l'accès des ingénieurs aux serveurs est contrôlé au niveau physique; dans les environnements cloud, ils fonctionnent sur Internet. Par conséquent, la différenciation du contrôle d'accès et la garantie de la transparence des changements au niveau du système sont l'un des principaux critères de protection.
La menace peut être liée au dynamisme des machines virtuelles. Les machines virtuelles sont clonées et peuvent être déplacées entre des serveurs physiques. Cette variabilité influence la conception d'un système de sécurité holistique. Dans le même temps, les vulnérabilités du système d'exploitation ou des applications dans un environnement virtuel se propagent de manière incontrôlable et apparaissent souvent après une période arbitraire, par exemple lors de la récupération sauvegarde... Par conséquent, dans un environnement de cloud computing, il est important de capturer de manière fiable l'état de sécurité d'un système, quel que soit son emplacement. Pour les systèmes cloud et virtuels, le risque de piratage et d'infection par des logiciels malveillants est assez élevé. Par conséquent, le système de détection et de prévention des intrusions doit être capable de détecter activité malveillante au niveau des machines virtuelles, quel que soit leur emplacement dans le cloud.
Une machine virtuelle désactivée court également un risque d'infection, car l'accès au réseau est suffisant pour accéder à son stockage d'images. Dans le même temps, il est impossible d'activer le logiciel de sécurité sur une machine virtuelle désactivée. C'est pourquoi la protection au niveau de l'hyperviseur doit être mise en œuvre. Il convient également de garder à l'esprit que lors de l'utilisation du cloud computing, le périmètre du réseau est flou voire disparaît, ce qui conduit à une définition complètement différente du niveau global de sécurité du réseau. Cela correspond à la partie la moins protégée. Pour différencier les segments avec différents niveaux de confiance dans le cloud, les machines virtuelles doivent se protéger en déplaçant le périmètre du réseau vers la machine virtuelle elle-même.
Quels sont les autres risques associés au passage au cloud?
- Vulnérabilités des systèmes d'exploitation, composants modulaires, protocoles réseau - menaces traditionnelles, pour la protection contre lesquelles il suffit d'installer un pare-feu, pare-feu, antivirus, IPS et autres composants qui résolvent ce problème... Dans le même temps, il est important que ces protections fonctionnent efficacement dans un environnement de virtualisation.
Il existe également des attaques fonctionnelles sur les éléments du cloud. Pour les protéger, pour chaque partie du cloud, vous devez utiliser les moyens de protection suivants: pour les proxies - protection efficace contre les attaques DoS, pour un serveur web - contrôle de l'intégrité de la page, pour un serveur d'application - un écran au niveau application, pour un SGBD - protection contre l'injection SQL, pour un système de stockage de données - sauvegardes correctes ( sauvegarde), contrôle d'accès. Séparément, chacun de ces mécanismes de défense a déjà été créé, mais ils ne sont pas rassemblés pour une protection complète du cloud.La tâche de les intégrer dans un seul système doit donc être résolue lors de la création du cloud.
On peut distinguer les soi-disant attaques contre le client. Étant donné que la plupart des utilisateurs se connectent au cloud à l'aide d'un navigateur, il existe un risque de piratage de mot de passe, de piratage de session Web et de nombreuses autres attaques similaires. La seule défense contre eux est une authentification correcte et l'utilisation d'une connexion cryptée (SSL) avec authentification mutuelle. Cependant, ces protections ne sont pas très pratiques et très inutiles pour les créateurs de cloud. Il existe encore de nombreux défis non résolus dans cette industrie de la sécurité de l'information.
Un des éléments clé le système virtuel est un hyperviseur. Sa fonction principale est de partager des ressources entre des machines virtuelles. Une attaque contre un hyperviseur peut amener une machine virtuelle à accéder à la mémoire et aux ressources d'une autre. Elle pourra également intercepter trafic réseau, enlevez des ressources physiques et même déplacez la machine virtuelle du serveur. Comme méthodes standard protection, il est recommandé d'utiliser des produits spécialisés pour environnements virtuels, intégration des serveurs hôtes avec le service d'annuaire Active Directory, l'utilisation de la complexité des mots de passe et des politiques d'expiration, et la standardisation des procédures d'accès aux outils de gestion du serveur hôte, et l'utilisation du pare-feu intégré de l'hôte de virtualisation. Il est également possible de désactiver des services fréquemment inutilisés comme, par exemple, l'accès Web au serveur de virtualisation.
Le grand nombre de machines virtuelles utilisées dans le cloud nécessite des systèmes de gestion capables de contrôler de manière fiable la création, la migration et l'élimination des machines virtuelles. L'intervention dans le système de contrôle peut conduire à l'émergence de machines virtuelles - invisibles, capables de bloquer certaines machines virtuelles et d'en substituer d'autres.
Les menaces de sécurité génèrent toujours des solutions qui peuvent les empêcher. Quels sont les plus efficaces?
- L'un des moyens les plus efficaces de protéger les données est le cryptage. Le fournisseur d'accès aux données doit crypter les informations du client stockées dans le centre de données et, si cela n'est pas nécessaire, les supprimer irrévocablement. Pendant la transmission, même les données cryptées ne devraient être accessibles qu'après authentification. De plus, les données ne doivent être accessibles que via des protocoles AES, TLS et IPsec fiables. En outre, une plus grande fiabilité sera obtenue en utilisant des jetons et des certificats pour l'authentification. Lors de l'autorisation, il est également recommandé d'utiliser LDAP (Lightweight Directory Access Protocol) et SAML (Security Assertion Markup Language) pour une communication transparente entre le fournisseur et le système d'identité. Outre, réseaux virtuels doit être déployé à l'aide de technologies telles que VPN (Virtual Private Network), VLAN (Virtual Local Area Network) VPLS (Virtual Private LAN Service).
GRIGORIEV1 Vitaly Robertovich, candidat sciences techniques, Professeur associé KUZNETSOV2 Vladimir Sergeevich
PROBLÈMES D'IDENTIFICATION DES VULNÉRABILITÉS DANS UN MODÈLE D'INFORMATIQUE CLOUD
L'article fournit un aperçu des approches de construction d'un modèle conceptuel de cloud computing, ainsi qu'une comparaison des points de vue existants sur l'identification des vulnérabilités inhérentes aux systèmes construits sur la base de ce modèle. Mots clés: cloud computing, vulnérabilité, principales menaces, virtualisation.
Le but de cet article est de fournir un aperçu des approches de construction d'un modèle de cloud computing conceptuel décrites dans l'architecture de référence NIST Cloud Computing, et de comparer les points de vue des principales organisations dans ce domaine sur les vulnérabilités de ce modèle informatique, ainsi que les principaux acteurs du marché du cloud computing.
Le cloud computing est un modèle qui fournit une l'accès au réseau à la demande pour des ressources informatiques configurables communes (réseaux, serveurs, magasins de données, applications et services), qui sont rapidement fournis avec un effort minimal pour gérer et interagir avec le fournisseur de services. Cette définition du National Standards Institute (NIST) est largement acceptée dans toute l'industrie. La définition du cloud computing comprend cinq caractéristiques principales, trois modèles de service et quatre modèles de déploiement.
Cinq caractéristiques principales
Self-service à la demande
Les utilisateurs peuvent obtenir, contrôler et gérer les ressources informatiques sans l'aide des administrateurs système. Accès réseau étendu - Les services informatiques sont fournis sur des réseaux standard et des appareils hétérogènes.
Élasticité opératoire - 1T-
les ressources peuvent être rapidement mises à l'échelle dans n'importe quelle direction selon les besoins.
Pool de ressources - Les ressources informatiques sont partagées par différentes applications et utilisateurs en mode déconnecté.
Calcul du coût du service - l'utilisation de la ressource 1T est suivie pour chaque application et utilisateur, en règle générale, pour assurer la facturation du cloud public et les paiements internes pour l'utilisation des clouds privés.
Trois modèles de service
Logiciel en tant que service (SaaS) - En règle générale, les applications sont fournies aux utilisateurs finaux en tant que service via un navigateur Web. Il existe aujourd'hui des centaines d'offres SaaS, des applications d'entreprise horizontales aux offres spécialisées pour des secteurs spécifiques, ainsi qu'aux applications grand public telles que la messagerie électronique.
Platform as a Service (PaaS) - Une plate-forme de développement et de déploiement d'applications est fournie en tant que service aux développeurs pour créer, déployer et gérer des applications SaaS. Généralement, la plate-forme comprend des bases de données, des intergiciels et des outils de développement, tous fournis en tant que service sur Internet. PaaS cible souvent un langage de programmation ou une API comme Java ou Python. L'architecture en cluster de Virtualized Grid Computing est souvent la base des systèmes
1 - MSTU MIREA, professeur associé du département Sécurité des informations;
2 - Université d'État d'électronique et d'automatisation radio de Moscou (MSTU MIREA), étudiant.
Paradis, car la structure en grille de la ressource réseau fournit l'évolutivité élastique nécessaire et la mise en commun des ressources. Infrastructure en tant que service (IaaS) - Les serveurs, le stockage et le matériel réseau sont fournis en tant que service. Ce matériel d'infrastructure est souvent virtualisé, de sorte que les logiciels de virtualisation, de gestion et de système d'exploitation font également partie de LaaR.
Quatre modèles de déploiement
Clouds privés - Conçus pour l'usage exclusif d'une seule organisation et sont généralement contrôlés, gérés et hébergés par des centres de données privés. L'hébergement et la gestion du cloud privé peuvent être sous-traités à un fournisseur de services externe, mais
le nouveau cloud reste à l'usage exclusif d'une organisation. Clouds publics - partagés par de nombreuses organisations (utilisateurs), maintenus et gérés par des fournisseurs de services externes.
Nuages \u200b\u200bde groupe - Utilisé par un groupe d'organisations liées qui cherchent à tirer parti d'un environnement de cloud computing partagé. Par exemple, un groupe pourrait être composé de diverses branches de l'armée, de toutes les universités d'une région donnée ou de tous les fournisseurs d'un grand fabricant.
Clouds hybrides - apparaissent lorsqu'une organisation utilise à la fois des clouds privés et publics pour la même application afin de tirer parti des deux. Par exemple, dans un scénario "tempête", un utilisateur-organisation dans le cas d'une charge standard sur l'application
utilise un cloud privé, et lorsque la charge est maximale, par exemple à la fin d'un trimestre ou pendant la période des fêtes, il utilise le potentiel du cloud public, renvoyant ensuite ces ressources au pool général lorsqu'elles ne sont pas nécessaires.
En figue. 1 montre le modèle conceptuel du cloud computing selon le document "NIST Cloud Computing Reference Architecture". Comme le montre la Fig. 1 modèle de la norme met en évidence les principaux acteurs du système cloud: consommateur cloud, fournisseur cloud, auditeur cloud, courtier cloud, intermédiaire cloud. Chaque participant est une personne ou une organisation remplissant ses propres fonctions de mise en œuvre ou de fourniture de cloud computing. Le consommateur cloud est une personne ou une organisation qui entretient des interactions commerciales avec d'autres
Consommateur cloud
Auditeur cloud
C Audit de sécurité L I J
I Audit de confidentialité I J
(Audit des services fournis |
Fournisseur cloud
Complexe de niveaux
Niveau personnalisé
^ Service en tant que service ^ ^ Plateforme en tant que service ^ Infrastructure en tant que service)
Niveau d'abstraction
Couche physique
Service cloud
^ J support ^ J personnalisation
Portabilité
Courtier cloud
Intermédiaire cloud
Figure: 1. Modèle conceptuel élaboré par des spécialistes du NIST
tori et utilise les services des fournisseurs de cloud. Fournisseur de cloud - une personne, une organisation ou toute personne responsable de la disponibilité des services fournis aux clients intéressés. Auditeur cloud - un participant qui peut effectuer des évaluations indépendantes des services cloud, des services et de la sécurité de la mise en œuvre cloud. Un courtier cloud est un contributeur qui gère l'utilisation, les performances et la fourniture des services cloud au consommateur, et négocie les interactions entre les fournisseurs cloud et les consommateurs cloud. Revendeur cloud - Un intermédiaire qui assure la communication et la fourniture de services cloud entre les fournisseurs de cloud et les consommateurs de cloud.
Avantages et défis du cloud computing
Des enquêtes récentes auprès de spécialistes en informatique montrent que le cloud computing offre deux avantages principaux lors de l'organisation de services distribués: la vitesse et le coût. Grâce à l'accès hors ligne à un pool de ressources informatiques, les utilisateurs peuvent être inclus dans les processus qui les intéressent en quelques minutes, et non en semaines ou en mois, comme c'était le cas auparavant. La capacité de calcul évolue également rapidement grâce à l'environnement informatique Grid élastiquement évolutif. Étant donné que dans le cloud computing, les utilisateurs ne paient que pour ce qu'ils utilisent et que l'évolutivité et l'automatisation atteignent un niveau élevé, le rapport coût / efficacité des services fournis est également un facteur très attractif pour tous les participants aux processus d'échange.
Ces mêmes sondages montrent qu'un certain nombre de considérations sérieuses empêchent certaines entreprises de passer au cloud. Parmi ces considérations, la sécurité du cloud computing est de loin la principale.
Pour une évaluation adéquate de la sécurité dans les systèmes cloud, il est logique d'explorer les points de vue des menaces dans ce domaine des principaux acteurs du marché. Nous comparerons les approches existantes des menaces cloud présentées dans la feuille de route des normes NIST Cloud Computing avec celles proposées par IBM, Oracle et VmWare.
Norme de sécurité du Cloud Computing du National Standards Institute des États-Unis
La feuille de route des normes de cloud computing du NIST, adoptée par le NIST, couvre les types potentiels d'attaques contre les services de cloud computing:
♦ compromettre la confidentialité et la disponibilité des données transmises par les fournisseurs de cloud;
♦ les attaques qui procèdent des caractéristiques de la structure et des capacités de l'environnement de cloud computing pour amplifier et augmenter les dégâts des attaques;
♦ accès non autorisé des consommateurs (par authentification ou autorisation incorrecte, ou vulnérabilités introduites au moyen de entretien) aux logiciels, données et ressources utilisés par un consommateur autorisé d'un service cloud;
♦ une augmentation du niveau d'attaques réseau, comme les logiciels d'exploitation DoS, dont le développement n'a pas pris en compte le modèle de menace des ressources Internet distribuées, ainsi que les vulnérabilités des ressources accessibles depuis les réseaux privés;
♦ possibilités limitées de cryptage des données dans un environnement avec un grand nombre de participants;
♦ la portabilité résultant de l'utilisation d'API non standard qui rendent difficile pour le consommateur de cloud la migration vers un nouveau fournisseur de cloud lorsque les exigences de disponibilité ne sont pas satisfaites;
♦ les attaques qui exploitent l'abstraction physique des ressources du cloud et exploitent les failles des enregistrements et des procédures d'audit;
♦ les attaques contre les machines virtuelles qui n'ont pas été mises à jour en conséquence;
♦ les attaques qui exploitent les incohérences dans les politiques de sécurité globales et privées.
La norme met également en évidence les principaux objectifs de sécurité du cloud computing:
♦ la protection des données des utilisateurs contre l'accès, la divulgation, la modification ou la visualisation non autorisés; implique la prise en charge du service d'identification de manière à ce que le consommateur puisse mettre en œuvre une politique d'identification et de contrôle d'accès sur les utilisateurs autorisés ayant accès aux services cloud; cette approche implique la capacité du consommateur à donner accès à ses données de manière sélective à d'autres utilisateurs;
♦ protection contre les menaces de la chaîne d'approvisionnement; inclut la confirmation du degré de confiance et de fiabilité du fournisseur de services au même degré que le degré de confiance dans le logiciel et le matériel utilisés;
♦ la prévention de l'accès non autorisé aux ressources de cloud computing; inclut la création de domaines sécurisés qui sont logiquement séparés des ressources (par exemple, la séparation logique des charges de travail exécutées sur le même serveur physique via un hyperviseur dans un environnement mutualisé) et l'utilisation de configurations par défaut sécurisées;
♦ développement d'applications Web déployées dans le cloud pour le modèle de menace des ressources Internet distribuées et intégration des fonctions de sécurité dans le processus de développement logiciel;
♦ protection des navigateurs Internet contre les attaques de mitigation points faibles sécurité de l'utilisateur final; implique de prendre des mesures pour sécuriser votre connexion Internet ordinateur personnel basé sur l'utilisation de logiciels sécurisés, pare-feu (pare-feu) et installation périodique de mises à jour;
♦ déploiement de technologies de contrôle d'accès et de détection d'intrusions
auprès d'un fournisseur de cloud et en effectuant une évaluation indépendante pour vérifier la disponibilité de ceux-ci; inclut (mais sans s'y limiter) des mesures de sécurité périmétriques traditionnelles combinées à un modèle de sécurité de domaine; la sécurité périmétrique traditionnelle comprend la limitation de l'accès physique au réseau et aux périphériques, la protection des composants individuels contre l'exploitation en déployant des mises à jour, la définition de la plupart des paramètres de sécurité par défaut, la désactivation de tous les ports et services inutilisés, l'utilisation du contrôle d'accès basé sur les rôles, la surveillance des enregistrements d'audit, la minimisation des privilèges utilisés, en utilisant des packages antivirus et des connexions cryptées;
♦ définir des frontières de confiance entre le (s) fournisseur (s) de services et les consommateurs pour s'assurer que la responsabilité autorisée de fournir la sécurité est claire;
♦ prise en charge de la portabilité, réalisée pour que le consommateur ait la possibilité de changer de fournisseur de cloud dans les cas où il doit répondre aux exigences d'intégrité, de disponibilité, de confidentialité; cela inclut la possibilité de fermer le compte pour le moment et de copier les données d'un fournisseur de services à un autre.
Ainsi, le NIST Cloud Computing Standards Roadmap, adopté par le NIST, définit une liste de base des attaques sur les systèmes cloud et une liste des tâches de base qui devraient
abordé en appliquant
mesures appropriées.
Formulons les menaces qui pèsent sur la sécurité de l'information du système cloud:
♦ U1 - menace (compromission, disponibilité, etc.) sur les données;
♦ U2 - menaces générées par les caractéristiques structurelles et les capacités de l'architecture d'implémentation de l'informatique distribuée;
♦ U4 - menaces associées à un modèle de menace incorrect;
♦ U5 - menaces associées à une mauvaise utilisation du chiffrement (il est nécessaire d'utiliser le chiffrement dans un environnement où il y a plusieurs flux de données);
♦ U6 - menaces associées à l'utilisation d'API non standard pendant le développement;
♦ U7 - menaces de virtualisation;
♦ U8 - menaces qui exploitent les incohérences dans les politiques de sécurité globales.
Le point de vue d'IBM sur la sécurité du cloud computing
Guide de sécurité dans le cloud Les recommandations IBM pour la mise en œuvre de la sécurité dans le cloud nous permettent de tirer des conclusions sur la vision de la sécurité d'IBM. Sur la base de ce document, nous pouvons étendre la liste des menaces précédemment proposée, à savoir:
♦ U9 - menaces associées à l'accès de tiers aux ressources physiques \\ systèmes;
♦ U10 - menaces associées à une élimination incorrecte ( cycle de la vie) renseignements personnels;
♦ U11 - menaces liées à la violation des lois régionales, nationales et internationales concernant les informations traitées.
Approches IBM, Oracle et VmWare de la sécurité du Cloud Computing
La documentation fournie par ces sociétés décrivant leurs opinions sur la sécurité de leurs systèmes ne diffère pas fondamentalement des menaces ci-dessus.
Table 1 répertorie les principales classes de vulnérabilités formulées par les entreprises dans leurs produits. Languette. 1 permet de voir le manque de couverture complète des menaces des entreprises étudiées et de formuler le «cœur des menaces» créées par les entreprises dans leurs systèmes cloud:
♦ menace pour les données;
♦ les menaces basées sur la structure / les capacités de l'informatique distribuée;
♦ les menaces associées à un modèle de menace incorrect;
♦ les menaces de virtualisation.
Conclusion
Un aperçu des principales classes de vulnérabilités de la plateforme cloud suggère qu'elle n'existe pas actuellement solutions toutes faites pour protéger pleinement le cloud en raison d'une variété d'attaques qui exploitent ces vulnérabilités.
Il est à noter que le tableau construit des classes de vulnérabilité (Tableau 1), intégrant les approches de
Tableau 1. Classes de vulnérabilité
Menaces déclarées par la source
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + - - -
IBM + + + + + - + - + + +
Soleil / Oracle + + + + - - + - - + -
VmWare + + + + - - + - - - -
cette industrie d'acteurs ne se limite pas aux menaces qui y sont présentées. Par exemple, il ne reflète pas les menaces associées au brouillage des frontières entre les environnements avec différents niveaux de confidentialité des données, ni au brouillage des limites de responsabilité en matière de sécurité de l'information entre le consommateur de services et le fournisseur de cloud.
Il devient évident que pour mettre en œuvre un système cloud complexe, une protection doit être développée pour une implémentation spécifique. En outre, l'absence de normes FSTEC et FSB pour les systèmes cloud joue un rôle important pour la mise en œuvre de l'informatique sécurisée dans les environnements virtuels. Le «noyau des menaces» mis en évidence dans le travail a du sens à utiliser dans l'étude
la tâche de construire un modèle unifié de classes de vulnérabilité. Cet article est d'ordre général, à l'avenir il est prévu d'analyser en détail les classes de menaces associées à la virtualisation, de développer des approches pour créer un système de protection qui empêche potentiellement la mise en œuvre de ces menaces
Littérature
1. Cloud Security Guidance IBM Recommendations for the Implementation of Cloud Security, ibm.com/redbooks, 2 novembre 2009.
2. http://www.vmware.com/technical-resources/security/index.html.
3. NIST Cloud. Architecture de référence informatique, Institut national des normes et. Technologie, publication spéciale. 500-292, septembre 2011.
4. NIST Cloud. Feuille de route des normes informatiques, Institut national des normes et. Technologie, publication spéciale. 500-291, juillet 2011.
5. http://www.oracle.com/technetwork/indexes/documentation/index.html.
Il y a une semaine, concernant la priorisation de l'élimination des vulnérabilités. Nikita Remezov sur Facebook a noté à juste titre qu'il se concentre principalement sur l'État et il faut admettre qu'il en est ainsi. À ce schéma, il a proposé d'ajouter une liaison à la criticité des ressources numérisées pour les entreprises. Oui, et c'est également vrai, et les métriques contextuelles dans CVSSv3 peuvent aider à le faire. L'avantage de cette technique est sa simplicité. Pour l'utiliser, vous n'avez besoin de rien d'autre qu'un scanner de sécurité prenant en charge CVSS. Bien que même pas nécessaire. Les vulnérabilités peuvent être identifiées soit en analysant le trafic réseau
| Liste des vulnérabilités identifiées par NGFW |
Dans les deux derniers cas, il ne reste plus qu'à décharger toutes les données sur les vulnérabilités et à les hiérarchiser selon la méthode décrite (cela peut être facilement automatisé en utilisant Excel classique).
Mais que faire dans les grandes organisations avec des dizaines et des centaines de milliers d'appareils. Même si nous imaginons que chaque appareil a une vulnérabilité (et peut-être bien plus), alors le nombre de lignes dans Excel deviendra inabordable pour l'analyse et la compilation d'une liste de trous à éliminer. Par exemple, voici à quoi ressemble l'image de l'ensemble du réseau Cisco, dans lequel il y a environ un demi-million d'appareils (200 000 appareils utilisateur, environ 50 000 appareils réseau, ainsi que divers objets Internet).
Détailler la carte du réseau n'améliore pas grandement la situation. La technique décrite dans le dernier article n'aidera pas dans un réseau d'une telle envergure.
Est-ce nécessaire? Toutes les vulnérabilités devraient-elles être corrigées? Même ceux avec CVSS supérieur à 6,5? Et si nous essayions de prendre un chemin différent et n'incluions pas tout dans le champ des travaux d'élimination des vulnérabilités, mais seulement ce qui peut être utilisé de l'extérieur? Souvenons-nous de l'histoire d'Equifax. Les attaquants ont exploité une vulnérabilité dans le portail Web public et, à travers celui-ci, sont entrés dans le réseau interne des bureaux de crédit. Il y aura plusieurs ordres de grandeur de moins de telles vulnérabilités, et c'est à partir d'elles que vous pourrez commencer l'élimination (avec ou sans technique).
Mais même ce nombre de vulnérabilités peut être encore réduit en liant des trous aux vecteurs d'attaque, c'est-à-dire en analysant les chemins possibles que les attaquants peuvent utiliser pour pénétrer à l'intérieur.
En réalité ça arrive sur la construction d'un graphe d'attaque basé sur des données de vulnérabilités pouvant être utilisées pour accéder d'Internet au réseau interne de l'entreprise.
Seules les vulnérabilités qui vous permettent d'accéder à l'intérieur par une combinaison multipasse sont intéressantes. Ce sont eux que nous éliminerons en premier lieu. Faites attention à l'illustration. Il peut y avoir beaucoup de trous à l'intérieur du réseau, mais il n'y a qu'un seul chemin vers eux (marqué par une ligne rouge). En éliminant la vulnérabilité dans la zone démilitarisée, nous avons la possibilité de réduire considérablement le plan de la future attaque, en le limitant uniquement à la DMZ.
Bien sûr, pour mettre en œuvre cette approche, nous ne pouvons pas faire avec un seul scanner. Nous devrons utiliser des solutions spécialisées pour construire des vecteurs d'attaque (Cisco n'en a pas - ce n'est pas une publicité :-), qui, analysant les paramètres de l'infrastructure actuelle (équipement réseau et outils de protection), les associe à des vulnérabilités, et montre l'ampleur des problèmes futurs. Pour l'un des points d'accès Internet de Cisco, cela ressemble à ceci.
La technique du dernier message est bon marché et ne nécessite pas de coûts supplémentaires, mais ne fonctionne pas bien dans les grandes infrastructures. L'approche décrite aujourd'hui est plus pratique mais nécessite également davantage de ressources / d'efforts de mise en œuvre. Mais il est entièrement automatisé. Cependant, il présente un autre inconvénient. Cela suppose que nous n'avons aucun autre moyen de pénétrer le réseau de l'entreprise ou que nous pouvons les minimiser. Cependant, si le réseau dispose d'un Wi-Fi non sécurisé, les utilisateurs sont sensibles aux lecteurs flash jetés et la direction peut amener de manière incontrôlable leurs ordinateurs portables personnels et les connecter au réseau interne, alors la deuxième approche peut créer un faux sentiment de sécurité. Cherchez l'équilibre ...
2019
McAfee: 19 bonnes pratiques de sécurité dans le cloud en 2019
La plus grande préoccupation des entreprises est la protection des services cloud externes. Par exemple, les personnes interrogées craignent que des incidents puissent survenir de la part de fournisseurs qui externalisent des processus métier, de services cloud tiers ou d'une infrastructure informatique où l'entreprise loue de la puissance de calcul. Malgré toutes ces préoccupations, cependant, seulement 15% des entreprises effectuent des examens de sécurité par des tiers.
«Malgré le fait que de récents piratages à grande échelle ont eu lieu à l'intérieur du centre de données, les systèmes de sécurité traditionnels se concentrent toujours uniquement sur la protection du périmètre du réseau et le contrôle des droits d'accès. Dans le même temps, l'impact négatif des solutions de protection de l'infrastructure physique sur les performances des environnements virtuels est rarement pris en compte, - a expliqué Veniamin Levtsov, vice-président des ventes et du développement commercial de Kaspersky Lab. «C'est pourquoi il est si important dans les environnements convergés d'utiliser une protection de bout en bout appropriée tout en sécurisant les systèmes virtuels avec des solutions dédiées. Nous mettons en œuvre une approche dans laquelle, quel que soit le type d'infrastructure, pour tous les systèmes, une couverture uniforme de l'ensemble du réseau d'entreprise est fournie. Et c'est là que nos technologies et les développements VMware modernes (tels que la micro-segmentation) se complètent parfaitement. "
2015: Forrester: Pourquoi les clients sont-ils mécontents des fournisseurs de cloud?
Nuage opaque
Une étude récente de Forrester Consulting montre que de nombreuses organisations estiment que les fournisseurs de services cloud ne leur fournissent pas suffisamment d'informations sur la manière dont ils interagissent avec le cloud, ce qui nuit à leur activité.
Outre le manque de transparence, il existe d'autres facteurs qui diminuent l'engouement pour le passage au cloud: le niveau de service pour les clients, les surcoûts et l'adaptation lors de la migration (on-boarding). Les organisations aiment beaucoup le cloud, mais pas ses fournisseurs - du moins pas tant.
L'étude, commandée par iland, un fournisseur d'hébergement cloud d'entreprise, a été menée en mai et a inclus des professionnels de l'infrastructure et de la maintenance de 275 organisations à Singapour et à Singapour.
«Parmi toutes les complexités du cloud actuel, il y a des failles ennuyeuses», écrit Lilac Schoenbeck, vice-président du support produit et du marketing pour iland. "Ces métadonnées critiques ne sont pas communiquées, ce qui ralentit considérablement l'adoption du cloud, et pourtant les organisations élaborent des plans de croissance basés sur les hypothèses illimitées du cloud."
Où est la clé pour parvenir à l'harmonie dans les relations d'affaires? Voici ce que les VAR doivent savoir pour essayer de régler les problèmes et amener les parties à la réconciliation.
Manque d'attention aux clients
Apparemment, de nombreux utilisateurs du cloud ne ressentent pas cette touche personnelle.
Ainsi, 44% des répondants ont répondu que leur fournisseur ne connaît pas leur entreprise et ne comprend pas leurs besoins commerciaux, et 43% pensent que si leur organisation était simplement plus grande, alors le fournisseur les paierait probablement. plus d'attention... En bref, ils ressentent la froideur d'une bonne affaire en achetant des services cloud et ils n'aiment pas ça.
Et encore une chose: il y a une pratique, qui a été signalée par un tiers des entreprises interrogées, qui insuffle également un sentiment de mesquinerie dans une transaction - elles sont facturées pour la moindre question ou incompréhensibilité.
Trop de secrets
La réticence d'un fournisseur à fournir toutes les informations non seulement agace les clients, mais leur coûte souvent de l'argent.
Tous les répondants qui ont participé à l'enquête Forrester ont répondu qu'ils ressentaient un impact financier et un impact sur leurs opérations quotidiennes en raison de données manquantes ou privées sur leur utilisation du cloud.
«Le manque de données claires sur l'utilisation du cloud entraîne des problèmes de performances, des rapports difficiles à la direction sur le coût réel d'utilisation, la facturation des ressources qui n'ont jamais été consommées par les utilisateurs et des factures inattendues», déclare Forrester.
Où sont les métadonnées?
Les DSI responsables de l'infrastructure cloud dans leurs organisations veulent des mesures de coût et de performance qui apportent clarté et transparence, mais ils ont évidemment du mal à communiquer cela aux fournisseurs.
Les participants à l'enquête ont noté que les métadonnées qu'ils reçoivent sur les charges de travail cloud sont généralement incomplètes. Près de la moitié des entreprises ont répondu qu'il n'y avait pas de données de conformité réglementaire, 44% ont déclaré qu'aucune donnée d'utilisation, 43% aucune donnée historique, 39% aucune donnée de sécurité et 33% aucune donnée de facturation et de coût.
La question de la transparence
Le manque de métadonnées pose toutes sortes de problèmes, disent les répondants. Près des deux tiers des personnes interrogées ont déclaré que le manque de transparence les empêchait de comprendre pleinement tous les avantages du cloud.
«Le manque de transparence crée une variété de problèmes, principalement la question des paramètres d'utilisation et des pannes», indique le rapport.
Environ 40% essaient de combler eux-mêmes ces lacunes en achetant des outils supplémentaires auprès de leurs propres fournisseurs de cloud, tandis que les 40% restants achètent simplement des services auprès d'un autre fournisseur où une telle transparence est présente.
Conformité à la réglementation
Quoi qu'il en soit, les organisations sont responsables de toutes leurs données, qu'elles soient stockées sur site ou envoyées dans le cloud.
Plus de 70% des répondants au sondage ont déclaré que leurs organisations sont régulièrement auditées et doivent confirmer le respect des réglementations en vigueur, où que se trouvent leurs données. Et cela constitue un obstacle à l'adoption du cloud pour près de la moitié des entreprises interrogées.
«Mais l'aspect de votre conformité aux réglementations doit être transparent pour vos utilisateurs finaux. Lorsque les fournisseurs de cloud retiennent ou ne divulguent pas ces informations, ils vous empêchent de les obtenir », indique le rapport.
Problèmes de conformité
Plus de 60% des entreprises interrogées ont déclaré que les problèmes de conformité limitaient l'adoption continue du cloud.
Les principaux problèmes sont:
- 55% des entreprises confrontées à de telles exigences ont déclaré qu'il leur était plus difficile de mettre en place des contrôles appropriés.
- Environ la moitié disent avoir du mal à comprendre le niveau de conformité de leur fournisseur de cloud.
- Une autre moitié des répondants ont répondu qu'il leur était difficile d'obtenir la documentation nécessaire du fournisseur sur le respect de ces exigences pour réussir l'audit. Et 42% ont du mal à obtenir la documentation de leur propre conformité avec les charges de travail exécutées dans le cloud.
Problèmes de migration
Le processus d'intégration semble être un autre domaine de mécontentement courant, un peu plus de la moitié des entreprises interrogées ayant répondu qu'elles n'étaient pas satisfaites des processus de migration et de support que les fournisseurs de cloud leur ont proposés.
Sur les 51% insatisfaits du processus de migration, 26% ont déclaré que cela avait pris trop de temps et 21% se sont plaints du manque de participation en direct du personnel du fournisseur.
Plus de la moitié étaient également insatisfaits du processus de soutien: 22% ont indiqué une longue attente de réponse, 20% ont indiqué une connaissance insuffisante du personnel de soutien, 19% ont indiqué un long processus de résolution de problèmes et 18% ont reçu des factures avec des coûts de soutien plus élevés que prévu.
Obstacles sur le chemin du cloud
De nombreuses entreprises interrogées par Forrester sont contraintes de retarder leurs projets d'expansion du cloud en raison de problèmes qu'elles rencontrent avec les services existants.
Au moins 60% ont répondu qu'un manque de transparence dans l'utilisation, des informations de conformité réglementaire et un support solide les empêchent d'utiliser le cloud plus largement. Sans ces problèmes, ils auraient déplacé plus de charges de travail vers le cloud, disent les répondants.
2014
- Le rôle des services informatiques évolue progressivement face au défi de s'adapter aux nouvelles réalités de l'informatique en nuage. Les services informatiques doivent éduquer les employés sur les problèmes de sécurité, développer des politiques complètes de gouvernance et de conformité des données, élaborer des directives de mise en œuvre du cloud et établir des règles pour les données qui peuvent et ne peuvent pas être stockées dans le cloud.
- Les services informatiques sont en mesure de remplir leur mission de protection des données d'entreprise et en même temps d'agir comme un outil dans la mise en œuvre du «Shadow IT», en mettant en œuvre des mesures pour assurer la sécurité des données, par exemple en introduisant une approche de «cryptage en tant que service» («encryption in un service "). Cette approche permet aux services informatiques de gérer de manière centralisée la protection des données dans le cloud, permettant à d'autres parties de l'entreprise de trouver et d'utiliser indépendamment les services cloud selon les besoins.
- Alors que de plus en plus d'entreprises stockent leurs données dans le cloud et que leurs employés utilisent de plus en plus les services cloud, les services informatiques doivent accorder plus d'attention à la mise en œuvre de meilleurs mécanismes de contrôle accès utilisateurcomme l'authentification multifacteur. Cela est particulièrement vrai pour les entreprises qui fournissent à des tiers et à des fournisseurs un accès à leurs données dans le cloud. Les solutions d'authentification multifacteur peuvent être gérées de manière centralisée et fournir un accès plus sécurisé à toutes les applications et données, qu'elles résident dans le cloud ou sur le propre matériel d'une entreprise.
Données Ponemon et SafeNet
La plupart des organisations informatiques ne savent pas comment les données d'entreprise sont protégées dans le cloud - en conséquence, les entreprises exposent leurs comptes et information confidentielle leurs utilisateurs. Ce n'est que l'une des conclusions d'une récente étude de l'automne 2014 commandée par le Ponemon Institute for SafeNet. L'étude, intitulée «Les défis de la gestion de l'information dans le cloud: une enquête mondiale sur la sécurité des données», a interrogé plus de 1 800 professionnels des technologies de l'information et de la sécurité informatique dans le monde.
Entre autres conclusions, l'étude a révélé que si les entreprises exploitent de plus en plus la puissance du cloud computing, les services informatiques des entreprises sont confrontés à des défis dans la gestion et la sécurisation des données dans le cloud. L'enquête a révélé que seulement 38% des organisations ont des rôles et des responsabilités clairement définis pour protéger les informations confidentielles et autres informations sensibles dans le cloud. Pour aggraver les choses, 44% des données d'entreprise stockées dans le cloud ne sont ni contrôlées ni gérées par les services informatiques. En outre, plus des deux tiers (71%) des personnes interrogées ont indiqué qu'elles rencontrent des difficultés croissantes lors de l'utilisation des mécanismes et méthodes traditionnels de sécurité pour protéger les données confidentielles dans le cloud.
À mesure que la popularité des infrastructures cloud augmente, le risque de fuite de données confidentielles augmente également: environ les deux tiers des professionnels de l'informatique interrogés (71%) ont confirmé que le cloud computing est aujourd'hui d'une grande importance pour les entreprises, et plus des deux tiers (78%) pensent que le cloud computing restera pertinent et dans deux ans. De plus, selon les répondants, environ 33% de tous les besoins de leurs organisations informatique et l'infrastructure de données d'aujourd'hui peut être satisfaite des ressources du cloud, et au cours des deux prochaines années, cette part passera à 41% en moyenne.
Cependant, la majorité des répondants (70%) conviennent qu'il devient de plus en plus difficile de se conformer aux exigences de maintien de la confidentialité des données et de leur protection dans l'environnement cloud. En outre, les répondants notent que les types de données d'entreprise stockées dans le cloud, telles que les adresses, sont les plus à risque de fuites. email, données client et client et informations de facturation.
En moyenne, plus de la moitié de tous les services cloud dans les entreprises sont déployés par des services tiers plutôt que par des services informatiques d'entreprise, et en moyenne, environ 44% des données d'entreprise hébergées dans le cloud ne sont pas contrôlées ou gérées par les services informatiques. En conséquence, seulement 19% des personnes interrogées pouvaient dire qu'elles étaient convaincues de connaître toutes les applications, plates-formes ou services d'infrastructure cloud actuellement utilisés dans leur organisation.
Outre le manque de contrôle sur l'installation et l'utilisation des services cloud, il n'y avait pas de consensus parmi les répondants quant à savoir qui est réellement responsable de la sécurité des données stockées dans le cloud. Trente-cinq pour cent des répondants ont déclaré que la responsabilité est partagée entre les utilisateurs et les fournisseurs de cloud, 33% pensent que la responsabilité incombe entièrement aux utilisateurs et 32% estiment que le fournisseur de cloud est responsable de la protection des données.
Plus des deux tiers (71%) des répondants ont noté qu'il devient de plus en plus difficile de protéger les données sensibles des utilisateurs stockées dans le cloud à l'aide d'outils et de méthodes de sécurité traditionnels, et environ la moitié (48%) disent qu'il devient plus difficile pour eux de contrôler ou de restreindre les utilisateurs finaux accèdent aux données du cloud. En conséquence, plus d'un tiers (34%) des professionnels de l'informatique interrogés ont déclaré que leur organisation avait déjà mis en œuvre des politiques d'entreprise qui nécessitent l'utilisation de mécanismes de sécurité tels que le cryptage comme condition préalable pour travailler avec certains services de cloud computing. Soixante et onze (71) pour cent des répondants ont indiqué que la capacité de crypter ou de tokeniser des données confidentielles ou autres données sensibles est d'une grande importance pour eux, et 79% estiment que l'importance de ces technologies augmentera au cours des deux prochaines années.
Lorsqu'on leur a demandé ce que font exactement leurs entreprises pour protéger les données dans le cloud, 43% des répondants ont déclaré que leurs organisations utilisaient des réseaux privés pour transférer des données. Environ deux cinquièmes (39%) des répondants ont déclaré que leur entreprise utilise le cryptage, la tokenisation et d'autres outils cryptographiques pour protéger les données dans le cloud. Un autre 33% des personnes interrogées ne savent pas quelles solutions de sécurité sont mises en œuvre dans leur organisation, et 29% ont déclaré utiliser services payants sécurité fournie par leurs fournisseurs de services cloud.
Les répondants estiment également que la gestion des clés de chiffrement d'entreprise est essentielle pour sécuriser les données dans le cloud, étant donné le nombre croissant de plates-formes de gestion de clés et de chiffrement utilisées dans leurs entreprises. Plus précisément, 54% des personnes interrogées ont déclaré que leur entreprise conservait le contrôle des clés de chiffrement lors du stockage des données dans le cloud. Cependant, 45% des personnes interrogées ont déclaré stocker leurs clés de chiffrement dans par programmation, au même endroit où les données elles-mêmes sont stockées, et seulement 27% stockent les clés dans des environnements plus sécurisés, par exemple sur des périphériques matériels.
En ce qui concerne l'accès aux données stockées dans le cloud, soixante-huit (68) pour cent des répondants affirment qu'il est de plus en plus difficile de gérer les comptes d'utilisateurs dans un environnement cloud, et soixante-deux (62) pour cent des répondants déclarent avoir accès au cloud dans leur organisation. fournis à des tiers. Environ la moitié (46%) des personnes interrogées ont déclaré que leurs entreprises utilisent l'authentification multifacteur pour protéger l'accès des tiers aux données stockées dans le cloud. Environ le même (48%) des répondants ont déclaré que leur entreprise utilise des technologies d'authentification multifacteur, notamment pour protéger l'accès de leurs employés au cloud.
2013: Etude de Cloud Security Alliance
La Cloud Security Alliance (CSA), une organisation industrielle à but non lucratif qui promeut la protection du cloud, a récemment mis à jour sa liste des principales menaces dans un rapport intitulé «Cloud Evil: Top 9 Threats in Cloud Services in 2013».
CSA indique que le rapport reflète le consensus des experts sur les menaces de sécurité les plus importantes dans le cloud et se concentre sur les menaces qui découlent du partage des ressources cloud et de leur accès à la demande par plusieurs utilisateurs.
Alors, les principales menaces ...
Le vol de données
Le vol d'informations confidentielles sur l'entreprise est toujours intimidant pour les organisations dans toute infrastructure informatique, mais le modèle cloud ouvre de «nouvelles voies d'attaque importantes», souligne le CSA. «Si une base de données cloud multi-bail n'est pas bien conçue, une faille dans l'application d'un client pourrait donner aux attaquants l'accès non seulement aux données de ce client, mais à tous les autres utilisateurs du cloud», prévient CSA.
Tout "cloud" a plusieurs niveaux de protection, chacun protégeant les informations contre différents types "d'attaques".
Ainsi, par exemple, la protection physique du serveur. Ici, nous ne parlons même pas de piratage, mais de vol ou d'endommagement des supports d'information. Sortir le serveur de la pièce peut être difficile dans le vrai sens du terme. En outre, toute entreprise qui se respecte stocke des informations dans des centres de données avec sécurité, vidéosurveillance et accès restreint non seulement aux étrangers, mais également à la plupart des employés de l'entreprise. Ainsi, la probabilité qu'un attaquant vienne simplement prendre les informations est proche de zéro.
Tout comme un voyageur expérimenté, craignant le vol, ne garde pas tout son argent et ses objets de valeur au même endroit,
