Il cloud computing collettivamente significa un ampio pool di risorse virtualizzate di facile utilizzo e prontamente disponibili (come sistemi hardware, servizi, ecc.). Queste risorse possono essere ridistribuite dinamicamente (ridimensionate) per adattarsi al carico che cambia dinamicamente, garantendo un uso ottimale delle risorse. Questo pool di risorse viene in genere fornito in base al principio "pay-as-you-go". Allo stesso tempo, il proprietario del cloud garantisce la qualità del servizio in base a determinati accordi con l'utente.
In accordo con quanto sopra, si possono distinguere le seguenti caratteristiche principali del cloud computing:
1) il cloud computing è un nuovo paradigma per la fornitura di risorse informatiche;
2) le risorse di infrastruttura di base (risorse hardware, sistemi di archiviazione dei dati, software di sistema) e le applicazioni sono fornite sotto forma di servizi;
3) questi servizi possono essere forniti da un fornitore indipendente per utenti esterni su una base "pay-as-you-go", le caratteristiche principali del cloud computing sono la virtualizzazione e la scalabilità dinamica;
4) i servizi cloud possono essere forniti all'utente finale tramite un browser Web o tramite una specifica interfaccia di programmazione dell'applicazione (API).
Il modello generale di cloud computing è costituito da parti esterne e interne. Questi due elementi sono collegati su una rete, nella maggior parte dei casi via Internet. Attraverso la parte esterna, l'utente interagisce con il sistema; l'interno è la nuvola stessa. La parte esterna è costituita da un computer client o una rete di computer e applicazioni aziendali utilizzati per accedere al cloud. L'interno è costituito da applicazioni, computer, server e archivi di dati che creano una nuvola di servizi attraverso la virtualizzazione (Figura 1).
Quando si spostano macchine virtuali fisiche (VM) esistenti da un data center (DPC) a cloud esterni o si forniscono servizi IT al di fuori di un perimetro sicuro in cloud privati, il perimetro della rete perde completamente il suo significato e il livello generale di sicurezza diventa piuttosto basso.
Se nei data center tradizionali, l'accesso degli ingegneri ai server è rigorosamente controllato a livello fisico, quindi nel cloud computing, l'accesso degli ingegneri tramite Internet, che porta alla comparsa di minacce corrispondenti. Di conseguenza, è fondamentale un rigoroso controllo degli accessi per gli amministratori, oltre a garantire il controllo e la trasparenza delle modifiche a livello di sistema
Le macchine virtuali sono dinamiche. La variabilità delle VM complica notevolmente la creazione e la manutenzione di un sistema di sicurezza olistico. Vulnerabilità ed errori di configurazione possono diffondersi in modo incontrollato. Inoltre, è molto difficile fissare lo stato di protezione in un determinato momento per un audit successivo.
I server di cloud computing utilizzano lo stesso sistema operativo e le stesse applicazioni Web dei server virtuali e fisici locali. Di conseguenza, per i sistemi cloud, anche la minaccia di hacking remoto o infezione da malware è elevata.
Un'altra minaccia è la minaccia all'integrità dei dati: compromesso e furto di dati. È necessario monitorare l'integrità del sistema operativo e dei file dell'applicazione, nonché l'attività interna.
L'uso di servizi cloud multiutente rende difficile seguire i requisiti di standard e leggi, inclusi i requisiti per l'uso di strumenti crittografici, per proteggere informazioni importanti, come le informazioni sul proprietario di una carta di credito e le informazioni che identificano una persona. Questo, a sua volta, dà origine al difficile compito di fornire protezione affidabile e accesso sicuro a dati importanti.
Sulla base dell'analisi di possibili minacce nel cloud computing, viene proposta una possibile protezione complessa di software e hardware per la sicurezza del cloud computing, che comprende 5 tecnologie: firewall, rilevamento e prevenzione delle intrusioni, monitoraggio dell'integrità, analisi dei log e protezione dai malware.
I provider di cloud computing utilizzano la virtualizzazione per fornire ai propri clienti l'accesso a risorse di elaborazione a basso costo. Allo stesso tempo, i client VM condividono le stesse risorse hardware, necessarie per raggiungere la massima efficienza economica. I clienti aziendali interessati al cloud computing per espandere la propria infrastruttura IT interna devono considerare le minacce poste da questo passaggio. Oltre ai tradizionali meccanismi di protezione della rete del data center che utilizzano approcci di sicurezza quali: firewall di frontiera, assegnazione di zone demilitarizzate, segmentazione della rete, monitoraggio dello stato della rete, sistemi di rilevamento e prevenzione delle intrusioni, meccanismi software di protezione dei dati su server di virtualizzazione o su se stessi dovrebbero essere utilizzati VM, dal momento che con il trasferimento di VM a servizi cloud pubblici, il perimetro della rete aziendale perde gradualmente il suo significato e i nodi meno sicuri iniziano a influenzare in modo significativo il livello generale di sicurezza. È l'impossibilità della separazione fisica e dell'applicazione dell'hardware di sicurezza di respingere gli attacchi tra macchine virtuali che porta alla necessità di posizionare il meccanismo di protezione sul server di virtualizzazione o sulle macchine virtuali stesse. L'implementazione di un metodo di protezione completo sulla stessa macchina virtuale, che comprende l'implementazione software di un firewall, il rilevamento e la prevenzione delle intrusioni, il monitoraggio dell'integrità, l'analisi dei registri e la protezione contro il codice dannoso, è il modo più efficace per proteggere l'integrità, rispettare i requisiti normativi e aderire alle politiche di sicurezza quando si spostano le risorse virtuali dalla rete interna al cloud.
Letteratura:
1. Radchenko G.I. Sistemi di calcolo distribuito // Manuale. - 2012 .-- S. 146-149.
2. Kondrashin M. Cloud Security // Notizie di archiviazione. - 2010. - N. 1.
Intervista con Alexei Berdnik, Project Manager, Strategic Client Relations, Digital Design
L'avvento della virtualizzazione è diventata una ragione urgente per la migrazione su larga scala della maggior parte dei sistemi verso macchine virtuali. Tuttavia, non vi è alcuna garanzia che vengano conteggiate tutte le risorse cloud e che non vi siano macchine virtuali non controllate, che i processi non necessari non siano in esecuzione o che la configurazione reciproca degli elementi cloud non venga interrotta. Quali sono le minacce al cloud computing e come possono essere prevenute?
- Si tratta di un tipo di minaccia di alto livello, poiché è associato alla gestibilità del cloud come un unico sistema informativo e la protezione generale deve essere costruita individualmente. Per fare ciò, utilizzare un modello di gestione del rischio per le infrastrutture cloud.
Nel cloud computing, il ruolo chiave della piattaforma è la tecnologia di virtualizzazione. Tra le minacce note al cloud computing vi sono le difficoltà a spostare i server cloud nel cloud computing. Nella maggior parte dei data center tradizionali, l'accesso degli ingegneri ai server è controllato a livello fisico, negli ambienti cloud in cui funzionano via Internet. Pertanto, la delimitazione del controllo di accesso e la garanzia di trasparenza delle modifiche a livello di sistema sono uno dei principali criteri di protezione.
La minaccia può essere correlata al dinamismo delle macchine virtuali. Le macchine virtuali vengono clonate e possono essere spostate tra server fisici. Questa variabilità influenza lo sviluppo di un sistema di sicurezza olistico. Allo stesso tempo, le vulnerabilità del sistema operativo o delle applicazioni nell'ambiente virtuale si diffondono senza controllo e spesso si manifestano dopo un periodo di tempo arbitrario, ad esempio durante il ripristino da un backup. Pertanto, in un ambiente di cloud computing, è importante registrare in modo affidabile lo stato di sicurezza del sistema, indipendentemente dalla sua posizione. Per i sistemi cloud e virtuali, il rischio di hacking e infezione da malware è piuttosto elevato. Pertanto, un sistema di rilevamento e prevenzione delle intrusioni dovrebbe essere in grado di rilevare attività dannose a livello di macchina virtuale, indipendentemente dalla loro posizione nel cloud.
Anche una macchina virtuale spenta è a rischio di infezione, poiché l'accesso attraverso la sua rete è sufficiente e l'accesso attraverso la rete. Allo stesso tempo, è impossibile abilitare il software di sicurezza su una macchina virtuale spenta. Ecco perché è necessario implementare la protezione a livello di hypervisor. Va inoltre tenuto presente che quando si utilizza il cloud computing, il perimetro della rete è sfocato o addirittura scompare, il che porta a una definizione completamente diversa del livello generale di sicurezza della rete. Corrisponde alla parte meno protetta di esso. Per distinguere tra segmenti con diversi livelli di fiducia nel cloud, le macchine virtuali stesse devono fornire protezione spostando il perimetro della rete sulla macchina virtuale stessa.
Quali altri sono i rischi del passaggio al cloud?
- Le vulnerabilità nei sistemi operativi, componenti modulari, protocolli di rete sono minacce tradizionali, per la protezione contro la quale è sufficiente installare un firewall, firewall, antivirus, IPS e altri componenti che risolvono questo problema. Allo stesso tempo, è importante che queste funzioni di sicurezza funzionino efficacemente in ambienti virtualizzati.
Esistono anche attacchi funzionali agli elementi cloud. Per proteggerli, per ogni parte del cloud, è necessario utilizzare i seguenti mezzi di protezione: per un proxy, protezione efficace contro gli attacchi DoS, per un server Web, controllo dell'integrità della pagina, per un server delle applicazioni, una schermata a livello di applicazione, per un DBMS, protezione contro iniezioni di SQL, per sistemi di archiviazione: i giusti backup (backup), controllo degli accessi. Individualmente, ciascuno di questi meccanismi di difesa è già stato creato, ma non sono riuniti per una protezione completa del cloud, quindi il compito di integrarli in un singolo sistema deve essere risolto durante la creazione del cloud.
Possiamo distinguere i cosiddetti attacchi al client. Poiché la maggior parte degli utenti si connette al cloud utilizzando un browser, esiste il rischio di "dirottare" le password, intercettare sessioni Web e molti altri attacchi simili. L'unica protezione contro di loro è l'autenticazione corretta e l'uso di connessioni crittografate (SSL) con autenticazione reciproca. Tuttavia, queste protezioni non sono molto convenienti e molto dispendiose per i creatori delle nuvole. Ci sono molti problemi irrisolti in questo settore della sicurezza delle informazioni.
Uno degli elementi chiave di un sistema virtuale è l'hypervisor. La sua funzione principale è la condivisione delle risorse tra macchine virtuali. Un attacco a un hypervisor può causare l'accesso a una macchina virtuale alla memoria e alle risorse di un'altra. Sarà anche in grado di intercettare il traffico di rete, selezionare risorse fisiche e persino forzare la macchina virtuale fuori dal server. Come metodi di protezione standard, si consiglia di utilizzare prodotti specializzati per ambienti virtuali, integrare i server host con il servizio directory Active Directory, utilizzare la complessità della password e le politiche di scadenza, standardizzare le procedure per accedere agli strumenti di gestione del server host e utilizzare il firewall host di virtualizzazione integrato. È anche possibile disabilitare servizi inutilizzati frequentemente come, ad esempio, l'accesso Web al server di virtualizzazione.
Un gran numero di macchine virtuali utilizzate nei cloud richiede sistemi di gestione in grado di controllare in modo affidabile la creazione, la migrazione e lo smaltimento delle macchine virtuali. L'intervento nel sistema di controllo può portare alla nascita di macchine virtuali: invisibili, in grado di bloccare alcune macchine virtuali e sostituirne altre.
Le minacce alla sicurezza generano sempre soluzioni che possono prevenirle. Quali sono i più efficaci?
- Uno dei modi più efficaci per proteggere i dati è la crittografia. Il provider che fornisce l'accesso ai dati deve crittografare le informazioni sul client archiviate nel data center e, se non è necessario, eliminarle definitivamente. Durante il trasferimento, anche i dati crittografati dovrebbero essere accessibili solo dopo l'autenticazione. Inoltre, l'accesso ai dati dovrebbe essere effettuato solo attraverso protocolli affidabili AES, TLS, IPsec. Inoltre, una maggiore affidabilità consentirà l'uso di token e certificati per l'autenticazione. Per l'autorizzazione, si consiglia inoltre di utilizzare LDAP (Lightweight Directory Access Protocol) e SAML (Security Assertion Markup Language) per un'interazione trasparente tra il provider e il sistema di autenticazione. Inoltre, le reti virtuali devono essere implementate utilizzando tecnologie come VPN (Virtual Private Network), VLAN (Virtual Local Area Network) VPLS (Virtual Private LAN Service).
GRIGORIEV1 Vitaliy Robertovich, Candidato di Scienze tecniche, Professore associato KUZNETSOV2 Vladimir Sergeevich
PROBLEMI DI IDENTIFICAZIONE DELLA VULNERABILITÀ NEL MODELLO DI INFORMAZIONE CLOUD
L'articolo fornisce una panoramica degli approcci alla costruzione di un modello concettuale di cloud computing e confronta anche le opinioni esistenti sull'identificazione delle vulnerabilità inerenti ai sistemi basati su questo modello. Parole chiave: cloud computing, vulnerabilità, kernel di minacce, virtualizzazione.
Lo scopo di questo articolo è di rivedere gli approcci alla costruzione di un modello concettuale di cloud computing descritto nel documento NIST Cloud Computing Reference Architecture e di confrontare le opinioni delle principali organizzazioni in questo campo sulle vulnerabilità nel contesto di questo modello di calcolo, nonché i principali attori del mercato per la creazione di sistemi cloud.
Il cloud computing è un modello che fornisce un comodo accesso alla rete su richiesta a risorse di elaborazione configurabili comuni (reti, server, archivi di dati, applicazioni e servizi), che viene rapidamente fornito con il minimo sforzo per gestire e interagire con il fornitore di servizi. Questa definizione del National Institute of Standards (NIST) è diffusa in tutto il settore. La definizione di cloud computing include cinque caratteristiche di base chiave, tre modelli di servizio e quattro modelli di implementazione.
Cinque caratteristiche chiave
Self-catering su richiesta
Gli utenti sono in grado di ricevere, controllare e gestire le risorse informatiche senza l'aiuto degli amministratori di sistema. Ampio accesso alla rete: i servizi di elaborazione sono forniti attraverso reti standard e dispositivi eterogenei.
Elasticità operativa - 1T-
le risorse possono essere ridimensionate rapidamente in qualsiasi direzione secondo necessità.
Pool di risorse: le risorse 1T sono condivise da varie applicazioni e utenti in una modalità non correlata.
Calcolo del costo dei servizi: l'uso della risorsa 1T viene monitorato per ogni applicazione e utente, di norma, per garantire la fatturazione per il cloud pubblico e i pagamenti interni per l'uso di cloud privati.
Tre modelli di servizio
Software as a Service (SaaS): in genere, le applicazioni sono fornite agli utenti finali come servizio attraverso un browser web. Oggi, ci sono centinaia di offerte SaaS, dalle applicazioni aziendali orizzontali a offerte specializzate per settori specifici, nonché applicazioni di consumo come la posta elettronica.
Platform as a Service (PaaS): una piattaforma per lo sviluppo e la distribuzione di applicazioni viene fornita come servizio agli sviluppatori per creare, distribuire e gestire applicazioni SaaS. In genere, una piattaforma include database, middleware e strumenti di sviluppo, tutti forniti come servizio su Internet. PaaS si concentra spesso su un linguaggio di programmazione o API, ad esempio Java o Python. L'architettura cluster virtualizzata del calcolo distribuito spesso funge da base per i sistemi
1 - MSTU MIREA, professore associato del Dipartimento di sicurezza delle informazioni;
2 - Università statale di radioelettronica e automatica di Mosca (MSTU MIREA), studente.
RaaYa, poiché la struttura a griglia della risorsa di rete fornisce la necessaria scalabilità elastica e pooling di risorse. Infrastruttura come servizio (IaaS): server, data warehousing e hardware di rete sono forniti come servizio. Questa apparecchiatura di infrastruttura è spesso virtualizzata, quindi anche la virtualizzazione, la gestione e il software del sistema operativo sono elementi di 1aaJ.
Quattro modelli di distribuzione
Cloud privati: progettati per essere utilizzati esclusivamente da una singola organizzazione, sono generalmente monitorati, gestiti e ospitati da data center privati. L'hosting e la gestione del cloud privato possono essere esternalizzati a un fornitore di servizi esterno, ma spesso
questo cloud rimane in uso esclusivo di un'organizzazione. Cloud pubblici: condivisi da molte organizzazioni (utenti), gestiti e gestiti da fornitori di servizi esterni.
Cloud di gruppo: utilizzati da un gruppo di organizzazioni correlate che desiderano utilizzare un ambiente di cloud computing comune. Ad esempio, un gruppo può comprendere vari rami delle forze armate, tutte le università in una determinata regione o tutti i fornitori di un grande produttore.
Cloud ibridi: vengono visualizzati quando un'organizzazione utilizza sia un cloud privato che uno pubblico per consentire alla stessa applicazione di sfruttare entrambi. Ad esempio, in uno scenario di "tempesta", l'organizzazione utente nel caso di un carico standard dell'applicazione
utilizza un cloud privato e quando il carico è di picco, ad esempio alla fine del trimestre o durante le festività natalizie, utilizza il potenziale del cloud pubblico, restituendo successivamente queste risorse al pool comune quando non è necessario.
In fig. La Figura 1 mostra un modello concettuale di cloud computing secondo NIST Cloud Computing Reference Architecture. Secondo la fig. 1 modello nello standard evidenzia i principali partecipanti al sistema cloud: consumer cloud, provider cloud, cloud auditor, broker cloud, intermediario cloud. Ogni partecipante è una persona o un'organizzazione che svolge le sue funzioni di implementazione o fornitura di cloud computing. Cloud consumer - una persona o un'organizzazione che supporta l'interazione commerciale con altre società.
Consumatore cloud
Cloud auditor
C Audit L I Sicurezza J
I Verifica conf. L I Identità J
(Controllo dei servizi forniti | J
Provider cloud
Livelli complessi
Livello utente
^ Servizio come servizio ^ ^ Piattaforma come servizio ^ Infrastruttura come servizio)
Livello di astrazione
Livello fisico
Servizio cloud
^ Supporto J ^ Configura J
portabilità
Broker cloud
Rivenditore cloud
Figura. 1. Il modello concettuale sviluppato da NIST
rete e utilizza servizi di provider cloud. Un fornitore di servizi cloud è una persona, un'organizzazione o chiunque sia responsabile della disponibilità dei servizi forniti ai consumatori interessati. Cloud auditor - un partecipante che può condurre valutazioni indipendenti di servizi cloud, servizi e sicurezza dell'implementazione cloud. Un broker cloud è un membro che gestisce l'utilizzo, le funzionalità attuali e la consegna dei servizi cloud a un consumatore e coordina anche l'interazione tra fornitori di cloud e consumatori di cloud. Cloud Broker: un broker che fornisce comunicazioni e erogazione di servizi cloud tra provider cloud e consumatori cloud.
Vantaggi e sfide del cloud computing
Recenti sondaggi condotti da esperti nel campo delle tecnologie 1T mostrano che il cloud computing offre due vantaggi principali nell'organizzazione dei servizi distribuiti: velocità e costi. Grazie all'accesso autonomo al pool di risorse informatiche, gli utenti possono unirsi ai processi di loro interesse in pochi minuti e non in settimane o mesi, come in passato. I cambiamenti nel potenziale di elaborazione vengono inoltre effettuati rapidamente grazie all'architettura di griglia resilientemente scalabile dell'ambiente di elaborazione. Poiché nel cloud computing gli utenti pagano solo per ciò che usano e le capacità di scalabilità e automazione raggiungono un livello elevato, anche il rapporto tra costo ed efficienza dei servizi forniti è un fattore molto interessante per tutti i partecipanti ai processi di scambio.
Gli stessi sondaggi mostrano che ci sono una serie di considerazioni serie che impediscono ad alcune aziende di spostarsi nel cloud. Tra queste considerazioni, la sicurezza del cloud computing ha un ampio margine.
Per un'adeguata valutazione della sicurezza nei sistemi cloud, ha senso esplorare le opinioni sulle minacce a quest'area dei principali attori del mercato. Confronteremo gli approcci esistenti sulle minacce cloud presentati nella Roadmap degli standard di cloud computing NIST con quelli offerti da IBM, Oracle e VmWare.
Cloud Computing Security Standard adottato dal National Institute of Standards ^ US Airborne
La tabella di marcia degli standard di cloud computing NIST, adottata da NIST, copre possibili tipi di attacchi ai servizi di cloud computing:
♦ compromettere la riservatezza e l'accessibilità dei dati trasmessi dai fornitori di servizi cloud;
♦ attacchi che derivano dalle caratteristiche strutturali e dalle capacità dell'ambiente di cloud computing per migliorare e aumentare il danno derivante dagli attacchi;
♦ accesso non autorizzato del consumatore (mediante autenticazione o autorizzazione errate o vulnerabilità introdotte mediante manutenzione periodica) al software, ai dati e alle risorse utilizzate da un consumatore autorizzato di un servizio cloud;
♦ un aumento del livello di attacchi alla rete, come DoS, software operativo, il cui sviluppo non ha tenuto conto del modello di minaccia per le risorse Internet distribuite, nonché delle vulnerabilità nelle risorse accessibili dalle reti private;
♦ limitata capacità di crittografare i dati in un ambiente con un gran numero di partecipanti;
♦ portabilità derivante dall'uso di API non standard che complicano il consumatore del cloud la possibilità di passare a un nuovo fornitore di cloud quando i requisiti di accessibilità non sono soddisfatti;
♦ attacchi che sfruttano l'astrazione fisica delle risorse cloud e sfruttano i difetti nei registri e nelle procedure di audit;
♦ attacchi a macchine virtuali che non sono stati aggiornati di conseguenza;
♦ attacchi sfruttando incoerenze nelle politiche di sicurezza globali e private.
Lo standard identifica anche le principali attività di sicurezza per il cloud computing:
♦ protezione dei dati degli utenti da accesso, divulgazione, modifica o visualizzazione non autorizzati; implica il supporto per il servizio di autenticazione in modo tale che il consumatore sia in grado di eseguire politiche di autenticazione e controllo degli accessi su utenti autorizzati che hanno accesso a servizi cloud; questo approccio implica la capacità del consumatore di fornire in modo selettivo l'accesso ai suoi dati ad altri utenti;
♦ protezione dalle minacce "a catena" (minacce alla catena di approvvigionamento); include la conferma del grado di attendibilità e affidabilità del fornitore di servizi nella stessa misura del grado di affidabilità del software e dell'hardware utilizzato;
♦ prevenzione dell'accesso non autorizzato alle risorse di cloud computing; include la creazione di domini sicuri che sono logicamente separati dalle risorse (ad esempio, la separazione logica dei carichi di lavoro in esecuzione sullo stesso server fisico attraverso un hypervisor in un ambiente multi-tenant) e l'uso di configurazioni sicure predefinite;
♦ sviluppo di applicazioni Web distribuite nel cloud per un modello di minaccia di risorse Internet distribuite e integrazione di funzioni di sicurezza nel processo di sviluppo del software;
♦ Protezione dei browser Internet dagli attacchi per mitigare le vulnerabilità della sicurezza dell'utente finale; comprende l'adozione di misure per proteggere la connessione Internet dei personal computer mediante l'uso di software sicuro, firewall (firewall) e l'installazione periodica di aggiornamenti;
♦ diffusione delle tecnologie di controllo degli accessi e di rilevamento delle intrusioni
contattare un fornitore di servizi cloud e condurre una valutazione indipendente per verificare la disponibilità di questi; include (ma non si limita a) le tradizionali misure di sicurezza perimetrale in combinazione con un modello di sicurezza del dominio; la sicurezza perimetrale tradizionale comprende la limitazione dell'accesso fisico alla rete e ai dispositivi, la protezione dei singoli componenti dal funzionamento mediante la distribuzione degli aggiornamenti, l'impostazione delle impostazioni di sicurezza predefinite, la disabilitazione di tutte le porte e i servizi non utilizzati, il controllo degli accessi in base al ruolo, il monitoraggio dei record di audit, la riduzione al minimo dei privilegi utilizzati l'uso di pacchetti antivirus e la crittografia delle connessioni;
♦ stabilire confini affidabili tra i fornitori di servizi e i consumatori al fine di garantire la chiarezza della responsabilità autorizzata a fornire sicurezza;
♦ supporto per la portabilità in modo che il consumatore possa cambiare il fornitore del cloud in quei casi in cui deve soddisfare i requisiti di integrità, accessibilità, riservatezza; ciò include la possibilità di chiudere un account al momento e copiare i dati da un fornitore di servizi a un altro.
Pertanto, la tabella di marcia degli standard di cloud computing NIST, adottata dal NIST, definisce un elenco di base di attacchi ai sistemi cloud e un elenco di attività chiave che dovrebbero
essere indirizzato attraverso l'applicazione
misure appropriate.
Formuliamo minacce alla sicurezza delle informazioni del sistema cloud:
♦ U1 - minaccia (compromesso, accessibilità, ecc ...) ai dati;
♦ U2 - minacce poste da caratteristiche strutturali e capacità dell'architettura per l'implementazione del calcolo distribuito;
♦ U4 - minacce associate a un modello di minaccia errato;
♦ U5 - minacce associate all'uso errato della crittografia (è necessario utilizzare la crittografia in un ambiente in cui vi sono diversi flussi di dati);
♦ U6 - minacce associate all'uso di API non standard durante lo sviluppo;
♦ U7 - minacce di virtualizzazione;
♦ U8 - minacce che sfruttano le incoerenze nelle politiche di sicurezza globali.
IBM Cloud Security View
La Guida alla sicurezza del cloud I consigli IBM per l'implementazione del documento sulla sicurezza del cloud ci consentono di trarre conclusioni sulle opinioni sulla sicurezza formate da IBM. Sulla base di questo documento, possiamo espandere l'elenco di minacce precedentemente proposto, vale a dire:
♦ U9 - minacce associate all'accesso di terzi a risorse / sistemi fisici;
♦ U10 - minacce associate a un utilizzo non corretto (ciclo di vita) delle informazioni personali;
♦ У11 - minacce associate alla violazione delle leggi regionali, nazionali e internazionali in merito alle informazioni elaborate.
Approcci di sicurezza del cloud IBM, Oracle e VmWare
La documentazione fornita da queste aziende e la descrizione delle opinioni su come garantire la sicurezza nei loro sistemi non presenta minacce fondamentalmente diverse da quanto sopra.
Sul tavolo. La tabella 1 elenca le principali classi di vulnerabilità formulate dalle aziende nei loro prodotti. Tab. 1 consente di vedere la mancanza di una copertura completa delle minacce da parte delle aziende studiate e di formulare un "nucleo di minacce" creato dalle aziende nei loro sistemi cloud:
♦ minaccia ai dati;
♦ minacce basate sulla struttura \\ capacità del calcolo distribuito;
♦ minacce associate a un modello di minaccia errato;
♦ minacce di virtualizzazione.
Conclusione
Una panoramica delle principali classi di vulnerabilità della piattaforma cloud ci consente di concludere che al momento non esistono soluzioni pronte per la protezione completa del cloud a causa della varietà di attacchi che utilizzano queste vulnerabilità.
Va notato che la tabella costruita delle classi di vulnerabilità (Tabella 1), che integra gli approcci iniziali
Tabella 1. Classi di vulnerabilità
Minacce dichiarate dalla fonte
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + + - - -
IBM + + + + + + - + - + + +
Sun / Oracle + + + + - - + - - + -
VmWare + + + + + - - + - - - -
gli attori di questo settore non si limitano alle minacce in esso presentate. Ad esempio, non riflette le minacce associate alla confusione dei confini tra ambienti con diversi livelli di riservatezza dei dati, nonché alla confusione dei confini della responsabilità della sicurezza delle informazioni tra il consumatore di servizi e il fornitore di cloud.
Diventa ovvio che per l'implementazione di un sistema cloud complesso, la protezione deve essere sviluppata per un'implementazione specifica. Importante anche per l'implementazione dell'informatica sicura in ambienti virtuali è la mancanza di standard FSTEC e FSB per i sistemi cloud. Il "nucleo della minaccia" evidenziato nel lavoro ha senso
il compito di costruire un modello unificato delle classi di vulnerabilità. Questo articolo è di natura generale, in futuro è previsto di analizzare in dettaglio le classi di minacce associate alla virtualizzazione, sviluppare approcci per la creazione di un sistema di protezione che potenzialmente impedisce l'implementazione di queste minacce
Letteratura
1. Guida alla sicurezza del cloud Raccomandazioni IBM per l'implementazione della sicurezza del cloud, ibm.com/redbooks, 2 novembre 2009.
2. http://www.vmware.com/technical-resources/security/index.html.
3. NIST Cloud. Architettura di riferimento informatica, National Institute of Standards e. Tecnologia, pubblicazione speciale. 500-292, settembre 2011.
4. NIST Cloud. Roadmap degli standard di calcolo, National Institute of Standards e. Tecnologia, pubblicazione speciale. 500-291, luglio 2011.
5. http://www.oracle.com/technetwork/indexes/documentation/index.html
Una settimana fa, per quanto riguarda la definizione delle priorità di rimozione delle vulnerabilità. Nikita Remezov su Facebook ha giustamente osservato che era principalmente focalizzata su Gosov e dobbiamo ammettere che è così. A questo schema, ha proposto di aggiungere un vincolo alla criticità delle risorse scansionate per le imprese. Sì, e questo è anche vero, e le metriche di contesto in CVSSv3 possono aiutare a farlo. Il vantaggio di questa tecnica è la sua semplicità. Per usarlo, non è necessario altro che uno scanner di sicurezza che supporti CVSS. Anche se anche lui non è necessario. Le vulnerabilità possono essere identificate analizzando il traffico di rete
| Elenco delle vulnerabilità identificate da NGFW |
Negli ultimi due casi, non resta che scaricare tutti i dati sulle vulnerabilità e assegnarle le priorità utilizzando la tecnica descritta (questo può essere facilmente automatizzato tramite Excel normale).
Ma cosa fare nelle grandi organizzazioni con decine e centinaia di migliaia di dispositivi. Anche se immagini che ogni dispositivo abbia una vulnerabilità (e forse molto di più), il numero di righe in Excel diventerà troppo alto per l'analisi e la creazione di un elenco di buchi per l'eliminazione. Ad esempio, ecco come appare l'immagine dell'intera rete Cisco, in cui ci sono circa mezzo milione di dispositivi (200 mila dispositivi utente, circa cinquantamila dispositivi di rete, nonché varie cose su Internet).
Il dettaglio di una mappa di rete non migliora notevolmente la situazione. La tecnica descritta nell'ultimo articolo non aiuterà in una rete così ampia.
È necessario? Tutte le vulnerabilità devono essere riparate? Anche quelli con CVSS maggiore di 6.5? E se provi a prendere una strada diversa e includi non tutto, ma solo cosa può essere utilizzato dall'esterno nell'ambito del lavoro per eliminare le vulnerabilità? Ricorda la storia di Equifax. Gli aggressori hanno sfruttato la vulnerabilità su un portale Web pubblico e attraverso di esso sono entrati nella rete interna degli uffici di storia creditizia. Ci saranno ordini di grandezza in meno di tali vulnerabilità ed è da loro che puoi iniziare l'eliminazione (con il metodo o senza di essa).
Ma anche questo numero di vulnerabilità può essere ulteriormente ridotto attaccando buchi ai vettori di attacco, ovvero analizzando i possibili percorsi che gli attaccanti possono usare per penetrare all'interno.
In sostanza, stiamo parlando della costruzione di un grafico di attacco che si basa su dati di vulnerabilità che possono essere utilizzati per passare da Internet alla rete interna dell'azienda.
Di interesse sono solo quelle vulnerabilità che consentono a una combinazione multidirezionale di penetrare all'interno. Li elimineremo prima di tutto. Presta attenzione all'illustrazione. Possono esserci molti buchi all'interno della rete, ma esiste un solo percorso (contrassegnato da una linea rossa). Eliminando la vulnerabilità nella zona demilitarizzata, abbiamo l'opportunità di ridurre significativamente il piano dell'attacco futuro, limitandolo solo alla DMZ.
Naturalmente, per implementare questo approccio, non possiamo fare con un solo scanner. Dovrai utilizzare soluzioni specializzate per la creazione di vettori di attacco (Cisco non li ha - questo non è pubblicità :-), che, analizzando le impostazioni dell'infrastruttura attuale (apparecchiature di rete e strumenti di sicurezza), li collega con le vulnerabilità e mostra l'entità dei problemi futuri. Per uno dei punti di accesso a Internet di Cisco, sembra così.
La tecnica del post precedente è economica e non richiede costi aggiuntivi, ma non funziona bene in grandi infrastrutture. L'approccio descritto oggi è più pratico, ma richiede anche maggiori risorse / sforzi di implementazione. Ma è completamente automatizzato. Tuttavia, ha un altro svantaggio. Suggerisce che non abbiamo altri modi per penetrare nella rete aziendale o che possiamo minimizzarli. Tuttavia, se la rete ha un Wi-Fi non protetto, gli utenti sono sensibili alle unità flash lanciate e la gestione può portare i loro laptop domestici in modo incontrollato e collegarli alla rete interna, quindi il secondo approccio può creare un falso senso di sicurezza. Cerca equilibrio ...
2019
McAfee: 19 best practice per la sicurezza del cloud nel 2019
La principale preoccupazione per le aziende è la protezione dei servizi cloud esterni. Pertanto, gli intervistati temono che possano verificarsi incidenti da fornitori che esternalizzano i processi aziendali, da servizi cloud di terze parti o da un'infrastruttura IT in cui la società noleggia potenza di calcolo. Tuttavia, nonostante tutte queste preoccupazioni, solo il 15% delle aziende verifica la conformità ai requisiti di sicurezza di terze parti.
"Nonostante il fatto che gli ultimi attacchi su larga scala siano avvenuti all'interno del data center, i sistemi di sicurezza tradizionali si concentrano ancora solo sulla protezione del perimetro della rete e sul controllo dei diritti di accesso. Allo stesso tempo, l'impatto negativo delle soluzioni per proteggere l'infrastruttura fisica sulle prestazioni degli ambienti virtuali viene raramente preso in considerazione ", ha spiegato Veniamin Levtsov, Vice President Corporate Sales and Business Development di Kaspersky Lab. - Pertanto, in ambienti convergenti è così importante utilizzare un'adeguata protezione completa, garantendo la sicurezza dei sistemi virtuali con soluzioni appositamente progettate. Stiamo implementando un approccio in cui, indipendentemente dal tipo di infrastruttura per tutti i sistemi, viene fornita un'unica copertura di sicurezza dell'intera rete aziendale. Ed è qui che le nostre tecnologie e gli sviluppi moderni di VMware (come la microsegmentazione) si completano perfettamente. "
2015: Forrester: perché i clienti non sono soddisfatti dei fornitori di servizi cloud?
Nuvola opaca
Un recente studio di Forrester Consulting mostra che molte organizzazioni ritengono che i fornitori di servizi cloud non forniscano loro informazioni sufficienti sull'interazione con il cloud, e ciò danneggia la loro attività.
Oltre all'insufficiente trasparenza, esistono altri fattori che riducono l'entusiasmo per il passaggio al cloud: questo è il livello di servizio per i clienti, i costi aggiuntivi e l'adattamento durante la migrazione (a bordo). Le organizzazioni amano molto il cloud, ma non i suoi fornitori - in ogni caso, non tanto.
Lo studio è stato commissionato da iland, un fornitore di cloud hosting aziendale, condotto a maggio e ha coperto professionisti nel campo delle infrastrutture e supporto continuo da 275 organizzazioni a Singapore.
"Tra tutte le complessità del cloud di oggi, ci sono fastidiosi difetti", scrive Lilac Schoenbeck, vice presidente dell'assistenza ai prodotti e del marketing, iland. "Tali importanti metadati non vengono comunicati, ostacolando in modo significativo l'adozione del cloud, eppure le organizzazioni elaborano piani di crescita basati sul presupposto di risorse cloud illimitate".
Dov'è la chiave per raggiungere l'armonia nelle relazioni d'affari? Questo è ciò che VAR deve sapere per cercare di risolvere i problemi e portare le parti alla riconciliazione.
Disattenzione per i clienti
Apparentemente, molti utenti del cloud non provano lo stesso approccio individuale.
Pertanto, il 44% degli intervistati ha affermato che il proprio fornitore non conosce la propria azienda e non capisce le proprie esigenze aziendali e il 43% ritiene che se la propria organizzazione fosse semplicemente più grande, probabilmente il fornitore presterebbe maggiore attenzione a loro. In breve, sentono il freddo di un normale affare che acquista servizi cloud e non gli piace.
E un'altra cosa: c'è una pratica segnalata da un terzo delle aziende intervistate, che infonde anche un senso di meschinità nella transazione: vengono addebitati per la minima domanda o incomprensibilità.
Troppi segreti
La riluttanza del fornitore a fornire tutte le informazioni non solo infastidisce i clienti, ma spesso costa loro denaro.
Tutti gli intervistati che hanno partecipato al sondaggio Forrester hanno risposto di aver avvertito alcune conseguenze finanziarie e un impatto sul loro lavoro attuale a causa della mancanza o della chiusura dei dati sull'uso del cloud.
"La mancanza di dati chiari sui parametri di utilizzo del cloud porta a problemi di prestazioni, segnalando difficoltà alla direzione in merito ai costi reali di utilizzo, pagamento per risorse che non sono state consumate dagli utenti e fatture inattese", afferma Forrester.
Dove sono i metadati?
I dirigenti IT responsabili dell'infrastruttura cloud nelle loro organizzazioni desiderano una metrica di costi e prestazioni che offra chiarezza e trasparenza, ma è ovviamente difficile per loro comunicare con i fornitori.
I partecipanti al sondaggio hanno notato che i metadati che ricevono sui carichi di lavoro cloud sono generalmente incompleti. Quasi la metà delle aziende ha risposto che non vi erano dati sulla conformità alle normative, il 44% non ha riportato dati sui parametri di utilizzo, il 43% ha riferito di dati retrospettivi, il 39% ha dichiarato di sicurezza e il 33% ha dichiarato dati di fatturazione e costi.
Problema di trasparenza
La mancanza di metadati causa tutti i tipi di problemi, dicono gli intervistati. Quasi i due terzi degli intervistati hanno affermato che la mancanza di trasparenza non consente loro di comprendere appieno tutti i vantaggi del cloud.
"La mancanza di trasparenza fa sorgere vari problemi, e prima di tutto si tratta di parametri di utilizzo e interruzioni del lavoro", afferma il rapporto.
Circa il 40% cerca di colmare queste lacune acquistando strumenti aggiuntivi dai propri provider di cloud, mentre l'altro 40% acquista semplicemente i servizi di un altro provider in cui tale trasparenza è presente.
Conformità normativa
Dì quello che ti piace, le organizzazioni sono responsabili di tutti i loro dati, sia sulla memoria locale che inviati al cloud.
Oltre il 70% degli intervistati nello studio ha affermato che le loro organizzazioni sono controllate periodicamente e devono confermare la conformità con gli standard esistenti, ovunque si trovino i loro dati. E questo rappresenta un ostacolo all'adozione del cloud per quasi la metà delle aziende intervistate.
"Ma l'aspetto della conformità normativa deve essere trasparente per gli utenti finali. Quando i fornitori di servizi cloud detengono o non divulgano queste informazioni, non ti consentono di raggiungere questo obiettivo ", afferma il rapporto.
Problemi di conformità
Oltre il 60% delle aziende intervistate ha dichiarato che i vincoli di conformità normativa aumentano ulteriormente l'adozione del cloud.
I problemi principali sono:
- Il 55% delle aziende associate a tali requisiti ha affermato che era molto difficile implementare controlli adeguati.
- Circa la metà afferma di avere difficoltà a comprendere il livello di conformità fornito dal proprio provider cloud.
- Un'altra metà degli intervistati ha risposto che per loro era difficile ottenere la documentazione necessaria dal fornitore in merito al rispetto di tali requisiti al fine di superare l'audit. E il 42% ha difficoltà a ottenere documentazione sulla propria conformità ai requisiti per i carichi di lavoro in esecuzione nel cloud.
Problemi di migrazione
Il processo di onboarding sembra essere un'altra area di insoddisfazione generale: poco più della metà delle aziende intervistate ha dichiarato di non essere soddisfatta dei processi di migrazione e supporto offerti dai fornitori di servizi cloud.
Del 51% insoddisfatto del processo di migrazione, il 26% ha risposto che ci è voluto troppo tempo e il 21% si è lamentato della mancanza di partecipazione attiva da parte del personale del fornitore.
Oltre la metà era inoltre insoddisfatta del processo di supporto: il 22% indicava una lunga attesa di risposta, il 20% indicava una conoscenza insufficiente del personale di supporto, il 19% indicava un processo di risoluzione dei problemi prolungato e il 18% riceveva fatture con un costo di supporto superiore alle aspettative.
Ostacoli alla nuvola
Molte delle aziende intervistate da Forrester sono costrette a limitare i loro piani di espansione nel cloud a causa dei problemi che incontrano con i servizi esistenti.
Almeno il 60% ha affermato che la mancanza di trasparenza nell'uso, le informazioni sulla conformità normativa e il supporto affidabile hanno impedito loro di utilizzare il cloud in modo più ampio. Se non fosse per questi problemi, trasferirebbero più carichi di lavoro sul cloud, affermano gli intervistati.
2014
- Il ruolo dei dipartimenti IT sta gradualmente cambiando: devono affrontare il compito di adattarsi alle nuove realtà dell'IT cloud. I dipartimenti IT dovrebbero educare i dipendenti su problemi di sicurezza, sviluppare politiche complete di gestione e conformità dei dati, sviluppare raccomandazioni per l'implementazione di servizi cloud e stabilire regole su quali dati possono essere archiviati nel cloud e quali no.
- I dipartimenti IT sono in grado di adempiere alla loro missione di proteggere i dati aziendali e allo stesso tempo fungere da strumento per l'implementazione di "Shadow IT", implementando misure per garantire la sicurezza dei dati, ad esempio introducendo la "crittografia come servizio" ("crittografia in forma di servizio "). Questo approccio consente ai dipartimenti IT di gestire centralmente la protezione dei dati nel cloud, fornendo ad altri dipartimenti dell'azienda la capacità di trovare e utilizzare in modo indipendente i servizi cloud secondo necessità.
- Poiché sempre più aziende archiviano i propri dati nel cloud e i loro dipendenti utilizzano sempre più servizi cloud, i dipartimenti IT devono prestare maggiore attenzione all'implementazione di meccanismi più efficaci per il controllo dell'accesso degli utenti, come l'autenticazione a più fattori. Ciò è particolarmente vero per le aziende che forniscono a terzi e fornitori l'accesso ai propri dati nel cloud. Le soluzioni di autenticazione a più fattori possono essere gestite centralmente e fornire un accesso più sicuro a tutte le applicazioni e i dati, ovunque si trovino, nel cloud o sulle apparecchiature dell'azienda.
Dati Ponemon e SafeNet
La maggior parte delle organizzazioni IT non è a conoscenza del modo in cui i dati aziendali sono protetti nel cloud - di conseguenza, le aziende mettono in pericolo i propri account utente e le informazioni riservate. Questo è solo uno dei risultati di un recente studio dell'autunno 2014 del Ponemon Institute commissionato da SafeNet. In uno studio intitolato "Sfide della gestione delle informazioni nel cloud: un'indagine globale sulla sicurezza dei dati", oltre 1800 esperti di sicurezza IT e IT sono stati intervistati in tutto il mondo.
Tra le altre scoperte, lo studio ha scoperto che mentre le organizzazioni sfruttano sempre più la potenza del cloud computing, i dipartimenti IT aziendali stanno lottando con la gestione dei dati e la sicurezza del cloud. Il sondaggio ha mostrato che solo il 38% delle organizzazioni ha definito chiaramente ruoli e responsabilità per garantire la protezione delle informazioni riservate e di altre informazioni sensibili nel cloud. La situazione è aggravata dal fatto che il 44% dei dati aziendali archiviati in un ambiente cloud non è controllato dai dipartimenti IT e non è gestito da essi. Inoltre, oltre i due terzi (71%) degli intervistati ha dichiarato di affrontare difficoltà sempre nuove quando si utilizzano meccanismi e tecniche di sicurezza tradizionali per proteggere i dati riservati nel cloud.
Con la crescente popolarità delle infrastrutture cloud, aumentano anche i rischi di perdite di dati confidenziali: circa i due terzi degli specialisti IT intervistati (71%) hanno confermato che il cloud computing è di grande importanza per le aziende di oggi, e oltre i due terzi (78%) ritengono che la rilevanza del cloud computing rimarrà in due anni. Inoltre, secondo gli intervistati, circa il 33% di tutte le esigenze delle loro organizzazioni in materia di tecnologia dell'informazione e infrastruttura di elaborazione dei dati può essere soddisfatto oggi utilizzando risorse cloud e nei prossimi due anni questa percentuale aumenterà in media al 41%.
Tuttavia, la maggior parte degli intervistati (70%) concorda sul fatto che sta diventando sempre più difficile rispettare i requisiti per mantenere la riservatezza dei dati e proteggerli in un ambiente cloud. Inoltre, gli intervistati notano che i tipi di dati aziendali archiviati nel cloud come indirizzi e-mail, dati di clienti e clienti e informazioni di fatturazione sono maggiormente a rischio di perdite.
In media, l'implementazione di oltre la metà di tutti i servizi cloud nelle imprese viene effettuata da dipartimenti di terze parti, non dipartimenti IT aziendali, e in media circa il 44% dei dati aziendali situati nel cloud non è controllato o gestito dai dipartimenti IT. Di conseguenza, solo il 19% degli intervistati ha potuto dichiarare di essere a conoscenza di tutte le applicazioni cloud, piattaforme o servizi di infrastruttura attualmente in uso nelle proprie organizzazioni.
Insieme alla mancanza di controllo sull'installazione e sull'uso dei servizi cloud, non vi era consenso tra gli intervistati su chi fosse effettivamente responsabile della sicurezza dei dati archiviati nel cloud. Il 35% degli intervistati ha affermato che la responsabilità è condivisa tra utenti e fornitori di servizi cloud, il 33% ritiene che la responsabilità sia interamente degli utenti e il 32% ritiene che il fornitore di servizi cloud sia responsabile della sicurezza dei dati.
Oltre due terzi (71%) degli intervistati ha affermato che sta diventando sempre più difficile proteggere i dati riservati degli utenti archiviati nel cloud utilizzando strumenti e metodi di sicurezza tradizionali e circa la metà (48%) afferma che sta diventando più difficile per loro controllare o limitare l'accesso degli utenti finali ai dati cloud. Di conseguenza, oltre un terzo (34%) dei professionisti IT intervistati ha affermato che le loro organizzazioni hanno già implementato politiche aziendali che richiedono meccanismi di sicurezza come la crittografia per funzionare con determinati servizi di cloud computing. Il settantuno (71) percento degli intervistati ha osservato che la capacità di crittografare o tokenizzare i dati sensibili o altri dati sensibili è di grande importanza per loro, e il 79% ritiene che l'importanza di queste tecnologie aumenterà nei prossimi due anni.
Alla domanda su cosa si sta facendo esattamente nelle proprie aziende per proteggere i dati nel cloud, il 43% degli intervistati ha affermato che le proprie organizzazioni utilizzano le reti private per trasmettere i dati. Circa due quinti (39%) degli intervistati ha affermato che le proprie aziende utilizzano crittografia, tokenizzazione e altri strumenti crittografici per proteggere i dati nel cloud. Un altro 33% degli intervistati non sa quali soluzioni di sicurezza sono implementate nelle proprie organizzazioni e il 29% ha dichiarato di utilizzare i servizi di sicurezza a pagamento forniti dai propri fornitori di servizi cloud.
Gli intervistati ritengono inoltre che la gestione delle chiavi di crittografia aziendale sia importante per proteggere i dati nel cloud, dato il numero crescente di piattaforme di gestione delle chiavi e crittografia utilizzate dalle loro aziende. In particolare, il 54% degli intervistati ha affermato che le proprie organizzazioni mantengono il controllo sulle chiavi di crittografia durante l'archiviazione dei dati nel cloud. Tuttavia, il 45% degli intervistati ha dichiarato di archiviare le proprie chiavi di crittografia in forma software, nello stesso posto in cui sono archiviati i dati stessi, e solo il 27% archivia le chiavi in \u200b\u200bambienti più sicuri, ad esempio su dispositivi hardware.
Per quanto riguarda l'accesso ai dati archiviati nel cloud, il sessantotto (68) percento degli intervistati afferma che la gestione degli account utente in un ambiente basato su cloud sta diventando più difficile, con il sessantadue (62) percento degli intervistati che afferma di avere accesso al cloud nelle organizzazioni previsto per terzi. Circa la metà (46 percento) degli intervistati ha affermato che le proprie aziende utilizzano l'autenticazione a più fattori per proteggere l'accesso di terzi ai dati archiviati in un ambiente cloud. Circa lo stesso numero (48 percento) di intervistati ha affermato che le proprie aziende utilizzano tecnologie di autenticazione a più fattori, anche per proteggere l'accesso dei propri dipendenti al cloud.
2013: Cloud Security Alliance Study
La Cloud Security Alliance (CSA), un'organizzazione industriale senza fini di lucro che promuove pratiche di sicurezza basate sul cloud, ha recentemente aggiornato l'elenco delle principali minacce in un rapporto intitolato Cloud Evil: le 9 principali minacce ai servizi cloud nel 2013.
Il CSA indica che il rapporto riflette un consenso di esperti sulle più significative minacce alla sicurezza nel cloud e si concentra sulle minacce derivanti dalla condivisione di risorse cloud condivise e dall'accesso a esse da parte di molti utenti su richiesta.
Quindi, le principali minacce ...
Furto di dati
Furto di informazioni aziendali riservate - spaventa sempre le organizzazioni con qualsiasi infrastruttura IT, ma il modello cloud apre "nuove e significative linee di attacco", sottolinea CSA. "Se il database cloud con più contratti di locazione non viene concepito correttamente, allora un difetto nell'applicazione di un client può aprire ai cracker l'accesso ai dati non solo di questo client, ma di tutti gli altri utenti del cloud", avverte CSA.
Ogni "cloud" ha diversi livelli di protezione, ognuno dei quali protegge le informazioni da un diverso tipo di "tentativo".
Quindi, ad esempio, la protezione fisica del server. Non si tratta nemmeno di hacking, ma di furti o danni ai media. Estrarre il server dalla stanza può essere difficile nel vero senso della parola. Inoltre, qualsiasi azienda che si rispetti memorizza le informazioni nei data center con sicurezza, videosorveglianza e restrizioni di accesso non solo agli estranei, ma alla maggior parte dei dipendenti dell'azienda. Quindi la probabilità che l'attaccante arrivi e prende l'informazione è quasi zero.
Proprio come un viaggiatore esperto, temendo rapine, non conserva tutti i soldi e gli oggetti di valore in un unico posto,
