Przetwarzanie w chmurze łącznie odnosi się do dużej puli łatwo używanych i łatwo dostępnych zwirtualizowanych zasobów (takich jak systemy sprzętowe, usługi itp.). Zasoby te można dynamicznie przenosić (skalować) w celu dostosowania do dynamicznie zmieniającego się obciążenia, zapewniając optymalne wykorzystanie zasobów. Ta pula zasobów jest zwykle udostępniana na zasadzie płatności zgodnie z rzeczywistym użyciem. Jednocześnie właściciel chmury gwarantuje jakość usługi w oparciu o określone umowy z użytkownikiem.
W związku z powyższym można wyróżnić następujące główne cechy przetwarzania w chmurze:
1) przetwarzanie w chmurze jest nowym paradygmatem dostarczania zasobów obliczeniowych;
2) podstawowe zasoby infrastruktury (zasoby sprzętowe, systemy przechowywania danych, oprogramowanie systemowe) i aplikacje są świadczone jako usługi;
3) usługi te mogą być świadczone przez niezależnego dostawcę dla użytkowników zewnętrznych na zasadzie płatności zgodnie z rzeczywistym użyciem; główne cechy chmury obliczeniowej to wirtualizacja i dynamiczna skalowalność;
4) usługi w chmurze mogą być świadczone na rzecz użytkownika końcowego za pośrednictwem przeglądarki internetowej lub określonego interfejsu API (Application Programming Interface).
Ogólny model przetwarzania w chmurze składa się z części zewnętrznej i wewnętrznej. Te dwa elementy są połączone w sieci, w większości przypadków przez Internet. Poprzez część zewnętrzną użytkownik współdziała z systemem; wewnętrzna część jest w rzeczywistości samą chmurą. Front end składa się z komputera klienckiego lub sieci komputerów przedsiębiorstwa i aplikacji używanych do uzyskiwania dostępu do chmury. Część wewnętrzną reprezentują aplikacje, komputery, serwery i magazyny danych, które poprzez wirtualizację tworzą chmurę usług (rys. 1).
Podczas przenoszenia istniejących fizycznych maszyn wirtualnych (VM) z centrum danych (DC) do chmur zewnętrznych lub świadczenia usług IT poza bezpiecznym obszarem w chmurach prywatnych, obwód sieci całkowicie traci swoje znaczenie, a ogólny poziom bezpieczeństwa staje się raczej niski.
O ile w tradycyjnych centrach danych dostęp inżynierów do serwerów jest ściśle kontrolowany na poziomie fizycznym, o tyle w przypadku przetwarzania w chmurze dostęp inżynierów odbywa się za pośrednictwem Internetu, co prowadzi do pojawienia się odpowiednich zagrożeń. W związku z tym krytyczna jest ścisła kontrola dostępu dla administratorów, a także kontrola i przejrzystość zmian na poziomie systemu.
Maszyny wirtualne są dynamiczne. Zmienność maszyn wirtualnych bardzo utrudnia stworzenie i utrzymanie spójnego systemu bezpieczeństwa. Luki w zabezpieczeniach i błędy konfiguracji mogą wymknąć się spod kontroli. Ponadto bardzo trudno jest zarejestrować stan ochrony w jakimkolwiek określonym momencie w celu późniejszego audytu.
Serwery przetwarzania w chmurze używają tego samego systemu operacyjnego i tych samych aplikacji internetowych, co lokalne serwery wirtualne i fizyczne. W związku z tym w przypadku systemów chmurowych zagrożenie zdalnym hakowaniem lub infekcją złośliwym oprogramowaniem jest równie wysokie.
Kolejnym zagrożeniem jest zagrożenie integralności danych: włamanie i kradzież danych. Należy monitorować integralność systemu operacyjnego i plików aplikacji, a także aktywność wewnętrzną.
Korzystanie z usług chmurowych dla wielu dzierżawców utrudnia spełnienie wymagań norm i przepisów, w tym wymagań dotyczących korzystania z narzędzi kryptograficznych, w celu ochrony informacji wrażliwych, takich jak informacje o posiadaczu karty kredytowej oraz informacje identyfikujące osobę. To z kolei rodzi trudne zadanie zapewnienia niezawodnej ochrony i bezpiecznego dostępu do wrażliwych danych.
Na podstawie analizy możliwych zagrożeń w przetwarzaniu w chmurze zaproponowano możliwe zintegrowane sprzętowo-programowe zabezpieczenie chmury obliczeniowej, które obejmuje 5 technologii: zaporę ogniową, wykrywanie i zapobieganie włamaniom, kontrolę integralności, analizę dzienników oraz ochronę przed złośliwym oprogramowaniem.
Dostawcy usług w chmurze wykorzystują wirtualizację, aby zapewnić swoim klientom dostęp do tanich zasobów obliczeniowych. Jednocześnie maszyny wirtualne klienta współdzielą te same zasoby sprzętowe, co jest niezbędne do osiągnięcia największej efektywności ekonomicznej. Klienci korporacyjni, którzy są zainteresowani przetwarzaniem w chmurze w celu rozszerzenia swojej wewnętrznej infrastruktury IT, powinni wziąć pod uwagę zagrożenia, jakie stwarza takie posunięcie. Oprócz tradycyjnych mechanizmów ochrony sieci centrów przetwarzania danych, należy zastosować takie podejścia do zabezpieczeń jak: firewall brzegowy, strefy zdemilitaryzowane, segmentacja sieci, narzędzia do monitorowania sieci, systemy wykrywania i zapobiegania włamaniom, mechanizmy programowej ochrony danych na serwerach wirtualizacji lub na samych serwerach. VM, ponieważ wraz z przeniesieniem maszyny wirtualnej do usług chmury publicznej obwód sieci korporacyjnej stopniowo traci znaczenie, a najmniej chronione węzły zaczynają znacząco wpływać na ogólny poziom bezpieczeństwa. To właśnie niemożność fizycznego oddzielenia i użycia sprzętu zabezpieczającego do odparcia ataków między maszynami wirtualnymi prowadzi do konieczności umieszczenia mechanizmu ochrony na serwerze wirtualizacji lub na samych maszynach wirtualnych. Wdrożenie kompleksowej metody ochrony na samej maszynie wirtualnej, w tym implementacja oprogramowania zapory ogniowej, wykrywania i zapobiegania włamaniom, kontroli integralności, analizy dzienników i ochrony przed złośliwym kodem, to najskuteczniejszy sposób ochrony integralności, zgodności z wymogami prawnymi i zgodności z politykami bezpieczeństwa podczas przenoszenia zasobów wirtualnych z sieci wewnętrznej do chmury.
Literatura:
1. Radchenko G.I. Rozproszone systemy obliczeniowe // Samouczek. - 2012. - S. 146-149.
2. Kondrashin M. Bezpieczeństwo przetwarzania w chmurze // Storage News. - 2010. - nr 1.
Wywiad z Alexeyem Berdnikiem, szefem projektów działu pracy z klientami strategicznymi w Digital Design
Pojawienie się wirtualizacji stało się pilną przyczyną migracji większości systemów na maszyny wirtualne na dużą skalę. Nie ma jednak gwarancji, że wszystkie zasoby w chmurze zostaną policzone, nie ma niemonitorowanych maszyn wirtualnych, uruchomionych niepotrzebnych procesów lub wzajemnej konfiguracji elementów chmury. Jakie są zagrożenia dla przetwarzania w chmurze i jak można im zapobiegać?
- Jest to zagrożenie wysokiego poziomu, ponieważ wiąże się z możliwością zarządzania chmurą jako pojedynczym systemem informacyjnym, a jej ogólną ochronę należy budować indywidualnie. Wymaga to modelu zarządzania ryzykiem w chmurze.
W przetwarzaniu w chmurze technologia wirtualizacji odgrywa kluczową rolę w platformie. Znane zagrożenia dla przetwarzania w chmurze obejmują trudność w przenoszeniu serwerów w chmurze do chmury obliczeniowej. W większości tradycyjnych centrów danych dostęp inżynierów do serwerów kontrolowany jest na poziomie fizycznym; w środowiskach chmurowych operują oni przez Internet. Dlatego zróżnicowanie kontroli dostępu i zapewnienie przejrzystości zmian na poziomie systemu jest jednym z głównych kryteriów ochrony.
Zagrożenie może być związane z dynamiką maszyn wirtualnych. Maszyny wirtualne są klonowane i można je przenosić między serwerami fizycznymi. Ta zmienność wpływa na projekt całościowego systemu bezpieczeństwa. Jednocześnie luki w systemie operacyjnym lub aplikacjach w środowisku wirtualnym rozprzestrzeniają się w sposób niekontrolowany i często pojawiają się po dowolnym czasie, na przykład podczas przywracania z kopii zapasowej. Dlatego w środowisku przetwarzania w chmurze ważne jest, aby rzetelnie rejestrować stan bezpieczeństwa systemu, niezależnie od jego lokalizacji. W przypadku systemów chmurowych i wirtualnych ryzyko włamania i infekcji złośliwym oprogramowaniem jest dość wysokie. Dlatego system wykrywania i zapobiegania włamaniom musi być w stanie wykryć złośliwą aktywność na poziomie maszyn wirtualnych, niezależnie od ich lokalizacji w chmurze.
Wyłączona maszyna wirtualna jest również narażona na infekcję, ponieważ dostęp do sieci jest wystarczający, aby uzyskać dostęp do jej magazynu obrazów. Jednocześnie niemożliwe jest włączenie oprogramowania zabezpieczającego na wyłączonej maszynie wirtualnej. Dlatego należy wdrożyć ochronę na poziomie hiperwizora. Należy również pamiętać, że przy korzystaniu z chmury obliczeniowej granice sieci są rozmyte lub wręcz zanikają, co prowadzi do zupełnie innej definicji ogólnego poziomu bezpieczeństwa sieci. Odpowiada najmniej chronionej części. Aby rozróżnić segmenty z różnymi poziomami zaufania w chmurze, maszyny wirtualne muszą zapewnić sobie ochronę, przenosząc obwód sieci do samej maszyny wirtualnej.
Jakie jeszcze są zagrożenia związane z przejściem do chmury?
- Podatności systemów operacyjnych, komponentów modułowych, protokołów sieciowych to tradycyjne zagrożenia, przed którymi do ochrony wystarczy zainstalować firewall, firewall, program antywirusowy, IPS i inne komponenty rozwiązujące ten problem. Jednocześnie ważne jest, aby te zabezpieczenia działały skutecznie w środowisku wirtualizacji.
Istnieją również funkcjonalne ataki na elementy chmury. Aby je chronić, dla każdej części chmury należy zastosować następujące środki ochrony: dla proxy - skuteczna ochrona przed atakami DoS, dla serwera WWW - kontrola integralności strony, dla serwera aplikacji - ekran z poziomu aplikacji, dla DBMS - ochrona przed iniekcją SQL, dla systemy przechowywania danych - prawidłowe kopie zapasowe (backup), kontrola dostępu. Oddzielnie każdy z tych mechanizmów obronnych został już utworzony, ale nie są one zbierane razem w celu kompleksowej ochrony chmury, więc zadanie integracji ich w jeden system należy rozwiązać podczas tworzenia chmury.
Możemy wyróżnić tzw. Ataki na klienta. Ponieważ większość użytkowników łączy się z chmurą za pomocą przeglądarki, istnieje ryzyko przejęcia hasła, przechwycenia sesji internetowej i wielu innych podobnych ataków. Jedyną obroną przed nimi jest poprawne uwierzytelnienie i wykorzystanie połączenia szyfrowanego (SSL) z wzajemnym uwierzytelnianiem. Jednak te zabezpieczenia nie są zbyt wygodne i bardzo marnotrawne dla twórców chmury. W branży bezpieczeństwa informacji wciąż istnieje wiele nierozwiązanych wyzwań.
Jednym z kluczowych elementów systemu wirtualnego jest hiperwizor. Jego główną funkcją jest udostępnianie zasobów między maszynami wirtualnymi. Atak na hiperwizora może spowodować, że jedna maszyna wirtualna będzie mogła uzyskać dostęp do pamięci i zasobów innej. Będzie również w stanie przechwytywać ruch sieciowy, zabierać zasoby fizyczne, a nawet przemieszczać maszynę wirtualną z serwera. Jako standardowe metody ochrony zaleca się stosowanie wyspecjalizowanych produktów dla środowisk wirtualnych, integrację serwerów hosta z usługą katalogową Active Directory, stosowanie zasad złożoności haseł i starzenia się, a także standaryzację procedur dostępu do narzędzi do zarządzania serwerem hosta oraz wykorzystanie wbudowanej zapory ogniowej hosta wirtualizacji. Możliwe jest również wyłączenie takich często nieużywanych usług, jak na przykład dostęp sieciowy do serwera wirtualizacji.
Duża liczba maszyn wirtualnych wykorzystywanych w chmurze wymaga systemów zarządzania, które mogą niezawodnie kontrolować tworzenie, migrację i usuwanie maszyn wirtualnych. Ingerencja w system sterowania może doprowadzić do powstania maszyn wirtualnych - niewidocznych, zdolnych do blokowania niektórych maszyn wirtualnych i zastępowania innych.
Zagrożenia bezpieczeństwa zawsze generują rozwiązania, które mogą im zapobiec. Które z nich są najskuteczniejsze?
- Jednym z najskuteczniejszych sposobów ochrony danych jest szyfrowanie. Dostawca zapewniający dostęp do danych musi zaszyfrować informacje klienta przechowywane w centrum danych i, jeśli nie jest to konieczne, nieodwołalnie je usunąć. Podczas transmisji nawet zaszyfrowane dane powinny być dostępne dopiero po uwierzytelnieniu. Ponadto dostęp do danych powinien być możliwy tylko poprzez niezawodne protokoły AES, TLS, IPsec. Wyższa niezawodność zostanie również osiągnięta poprzez użycie tokenów i certyfikatów do uwierzytelniania. Podczas autoryzacji zaleca się również użycie LDAP (Lightweight Directory Access Protocol) i SAML (Security Assertion Markup Language) w celu zapewnienia przejrzystej komunikacji między dostawcą a systemem tożsamości. Ponadto sieci wirtualne powinny być wdrażane przy użyciu technologii takich jak VPN (Virtual Private Network), VLAN (Virtual Local Area Network) VPLS (Virtual Private LAN Service).
GRIGORIEV1 Witalij Robertowicz, kandydat nauk technicznych, docent KUZNETSOV2 Vladimir Sergeevich
PROBLEMY Z IDENTYFIKACJĄ PODATNOŚCI W MODELU OBLICZENIOWYM W CHMURZE
Artykuł zawiera przegląd podejść do budowania konceptualnego modelu przetwarzania w chmurze, a także porównanie istniejących poglądów na identyfikację podatności, które są nieodłączne w systemach zbudowanych w oparciu o ten model. Słowa kluczowe: przetwarzanie w chmurze, podatność, rdzeń zagrożeń, wirtualizacja.
Celem tego artykułu jest przedstawienie przeglądu podejść do budowania koncepcyjnego modelu przetwarzania w chmurze przedstawionego w architekturze referencyjnej NIST Cloud Computing oraz porównanie poglądów wiodących organizacji w tym obszarze na temat podatności w tym modelu obliczeniowym, a także głównych graczy na rynku przetwarzania w chmurze.
Przetwarzanie w chmurze to model zapewniający wygodny dostęp sieciowy na żądanie do konfigurowalnych współdzielonych zasobów obliczeniowych (sieci, serwerów, magazynów danych, aplikacji i usług), który jest szybko dostarczany przy minimalnym zarządzaniu i interakcji z dostawcą usług. Ta definicja National Standards Institute (NIST) jest szeroko akceptowana w całej branży. Definicja przetwarzania w chmurze obejmuje pięć podstawowych cech, trzy modele usług i cztery modele wdrażania.
Pięć głównych cech
Samoobsługa na żądanie
Użytkownicy mogą uzyskiwać, kontrolować i zarządzać zasobami obliczeniowymi bez pomocy administratorów systemu. Szeroki dostęp do sieci - usługi komputerowe są dostarczane za pośrednictwem standardowych sieci i urządzeń heterogenicznych.
Elastyczność operacyjna - 1T-
zasoby można szybko skalować w dowolnym kierunku w razie potrzeby.
Pula zasobów - zasoby IT są współdzielone przez różne aplikacje i użytkowników w trybie rozłączonym.
Kalkulacja kosztów usług - zużycie zasobów 1T jest śledzone dla każdej aplikacji i użytkownika, z reguły w celu wystawiania faktur za chmurę publiczną i płatności wewnętrznych za korzystanie z chmur prywatnych.
Trzy modele usług
Oprogramowanie jako usługa (SaaS) - zazwyczaj aplikacje są dostarczane użytkownikom końcowym jako usługa za pośrednictwem przeglądarki internetowej. Obecnie istnieją setki ofert SaaS, od horyzontalnych aplikacji dla przedsiębiorstw po specjalistyczne oferty dla określonych branż, a także aplikacje konsumenckie, takie jak poczta e-mail.
Platforma jako usługa (PaaS) - platforma do tworzenia i wdrażania aplikacji jest udostępniana programistom jako usługa w celu tworzenia i wdrażania aplikacji SaaS oraz zarządzania nimi. Zwykle platforma zawiera bazy danych, oprogramowanie pośredniczące i narzędzia programistyczne, wszystkie dostarczane jako usługa przez Internet. PaaS często jest przeznaczony dla języka programowania lub interfejsu API, takiego jak Java lub Python. Architektura klastrowa zwirtualizowanych sieci grid jest często podstawą systemów
1 - MSTU MIREA, docent w Katedrze Bezpieczeństwa Informacji;
2 - Moskiewski Państwowy Uniwersytet Elektroniki Radiowej i Automatyki (MSTU MIREA), student.
Raj, ponieważ struktura siatki zasobów sieciowych zapewnia niezbędną elastyczną skalowalność i łączenie zasobów. Infrastruktura jako usługa (IaaS) - serwery, pamięć masowa i sprzęt sieciowy są dostarczane jako usługa. Ten sprzęt infrastruktury jest często zwirtualizowany, więc wirtualizacja, zarządzanie i oprogramowanie systemu operacyjnego są również częścią LaaR.
Cztery modele wdrażania
Chmury prywatne - zaprojektowane do wyłącznego użytku jednej organizacji i zazwyczaj są kontrolowane, zarządzane i hostowane przez prywatne centra danych. Hosting i zarządzanie w chmurze prywatnej można zlecić zewnętrznemu dostawcy usług, ale często
nowa chmura pozostaje do wyłącznego użytku jednej organizacji. Chmury publiczne - współdzielone przez wiele organizacji (użytkowników), utrzymywane i zarządzane przez zewnętrznych dostawców usług.
Chmury grupowe - używane przez grupę powiązanych organizacji, które chcą skorzystać ze współdzielonego środowiska przetwarzania w chmurze. Na przykład grupa może składać się z różnych gałęzi wojska, wszystkich uniwersytetów w danym regionie lub wszystkich dostawców dużego producenta.
Chmury hybrydowe - pojawiają się, gdy organizacja korzysta z chmur prywatnych i publicznych dla tej samej aplikacji, aby skorzystać z obu. Na przykład, w scenariuszu „burzy”, organizacja-użytkownik w przypadku standardowego obciążenia aplikacji
korzysta z chmury prywatnej, a gdy obciążenie jest szczytowe, na przykład pod koniec kwartału lub w okresie świątecznym, wykorzystuje potencjał chmury publicznej, a następnie zwraca te zasoby do ogólnej puli, gdy nie są potrzebne.
Na rys. 1 przedstawia koncepcyjny model przetwarzania w chmurze zgodnie z dokumentem „Architektura referencyjna przetwarzania w chmurze NIST”. Jak pokazano na rys. Model 1 w standardzie wyróżnia głównych uczestników systemu chmurowego: konsumenta, dostawcę chmury, audytora chmury, brokera chmury, pośrednika w chmurze. Każdy uczestnik to osoba lub organizacja wykonująca własne funkcje wdrażania lub udostępniania chmury obliczeniowej. Konsument chmury to osoba lub organizacja, która utrzymuje kontakty biznesowe z innymi
Konsument w chmurze
Audytor chmury
C Audyt bezpieczeństwa L I J
I Audyt poufności I J
(Audyt świadczonych usług |
Dostawca chmury
Kompleks poziomów
Poziom niestandardowy
^ Usługa jako usługa ^ ^ Platforma jako usługa ^ Infrastruktura jako usługa)
Poziom abstrakcji
Warstwa fizyczna
Usługa chmury
^ J wsparcie ^ J dostosowywanie
Ruchliwość
Broker chmury
Pośrednik w chmurze
Postać: 1. Model koncepcyjny opracowany przez specjalistów NIST
tori i korzysta z usług dostawców chmury. Dostawca chmury - osoba, organizacja lub każdy, kto odpowiada za dostępność usług dla zainteresowanych klientów. Audytor chmury - uczestnik, który może przeprowadzać niezależne oceny usług, usług i bezpieczeństwa wdrożenia chmury. Broker w chmurze jest dostawcą, który zarządza użytkowaniem, wydajnością i dostarczaniem usług w chmurze do konsumenta oraz negocjuje interakcje między dostawcami chmury a konsumentami. Sprzedawca w chmurze - pośrednik, który zapewnia komunikację i dostarczanie usług w chmurze między dostawcami i konsumentami chmury.
Zalety i wyzwania przetwarzania w chmurze
Ostatnie badania specjalistów IT pokazują, że przetwarzanie w chmurze oferuje dwie główne zalety przy organizacji usług rozproszonych - szybkość i koszt. Dzięki dostępowi offline do puli zasobów obliczeniowych, użytkownicy mogą zostać włączeni w interesujące ich procesy w ciągu kilku minut, a nie tygodni czy miesięcy, jak to było dotychczas. Wydajność obliczeniowa również szybko się zmienia dzięki elastycznemu skalowaniu środowiska obliczeniowego Grid. Ponieważ w chmurze użytkownicy płacą tylko za to, z czego korzystają, a skalowalność i automatyzacja osiągają wysoki poziom, to stosunek kosztów do wydajności świadczonych usług jest również bardzo atrakcyjnym czynnikiem dla wszystkich uczestników procesów wymiany.
Te same sondaże pokazują, że istnieje wiele poważnych powodów, które powstrzymują niektóre firmy przed przejściem do chmury. Wśród tych kwestii bezpieczeństwo przetwarzania w chmurze jest zdecydowanie wiodącym.
Aby właściwie ocenić bezpieczeństwo w systemach chmurowych, warto przyjrzeć się poglądom na zagrożenia w tym obszarze głównych graczy rynkowych. Porównamy obecne podejścia do zagrożeń chmurowych przedstawione w mapie drogowej NIST Cloud Computing Standards Roadmap z tymi oferowanymi przez IBM, Oracle i VmWare.
Standard bezpieczeństwa przetwarzania w chmurze US National Standards Institute
Mapa drogowa standardów chmury obliczeniowej NIST, przyjęta przez NIST, obejmuje możliwe potencjalne typy ataków na usługi przetwarzania w chmurze:
♦ narażanie poufności i dostępności danych przekazywanych przez dostawców chmury;
♦ ataki, które wywodzą się z cech strukturalnych i możliwości środowiska przetwarzania w chmurze w celu wzmocnienia i zwiększenia szkód spowodowanych atakami;
♦ nieautoryzowany dostęp konsumenta (poprzez nieprawidłowe uwierzytelnienie lub autoryzację, lub luki wprowadzone w wyniku okresowej konserwacji) do oprogramowania, danych i zasobów wykorzystywanych przez upoważnionego konsumenta usługi w chmurze;
♦ wzrost poziomu ataków sieciowych, takich jak DoS, wykorzystujące oprogramowanie, którego rozwój nie uwzględniał modelu zagrożeń dla rozproszonych zasobów Internetu, a także luk w zasobach, które były dostępne z sieci prywatnych;
♦ ograniczone możliwości szyfrowania danych w środowisku o dużej liczbie uczestników;
♦ przenośność wynikająca ze stosowania niestandardowych API, które utrudniają konsumentowi chmury migrację do nowego dostawcy chmury, gdy wymagania dotyczące dostępności nie są spełnione;
♦ ataki wykorzystujące fizyczną abstrakcję zasobów w chmurze i luki w dokumentacji i procedurach kontroli;
♦ ataki na maszyny wirtualne, które nie zostały odpowiednio zaktualizowane;
♦ ataki wykorzystujące niespójności w globalnych i prywatnych politykach bezpieczeństwa.
W normie podkreślono również główne cele bezpieczeństwa przetwarzania w chmurze:
♦ ochrona danych użytkownika przed nieuprawnionym dostępem, ujawnieniem, modyfikacją lub przeglądaniem; oznacza obsługę usługi identyfikacji w taki sposób, że konsument jest w stanie realizować politykę identyfikacji i kontroli dostępu w odniesieniu do upoważnionych użytkowników, którzy mają dostęp do usług w chmurze; podejście to zakłada zdolność konsumenta do zapewnienia dostępu do swoich danych w sposób selektywny innym użytkownikom;
♦ ochrona przed zagrożeniami łańcucha dostaw; obejmuje potwierdzenie poziomu zaufania i niezawodności usługodawcy w takim samym stopniu jak poziom zaufania używanego oprogramowania i sprzętu;
♦ zapobieganie nieautoryzowanemu dostępowi do zasobów przetwarzania w chmurze; obejmuje tworzenie bezpiecznych domen, które są logicznie oddzielone od zasobów (na przykład logiczne oddzielenie obciążeń działających na tym samym serwerze fizycznym za pośrednictwem hiperwizora w środowisku obsługującym wiele dzierżawców) oraz używanie bezpiecznych konfiguracji domyślnych;
♦ tworzenie aplikacji webowych wdrażanych w chmurze dla modelu zagrożeń rozproszonych zasobów internetowych oraz integracja funkcji bezpieczeństwa z procesem wytwarzania oprogramowania;
♦ ochrona przeglądarek internetowych przed atakami w celu złagodzenia słabych punktów bezpieczeństwa użytkowników końcowych; obejmuje podejmowanie środków w celu ochrony połączenia internetowego komputerów osobistych w oparciu o stosowanie bezpiecznego oprogramowania, zapór (firewall) i okresową instalację aktualizacji;
♦ wdrażanie technologii kontroli dostępu i wykrywania włamań
od dostawcy chmury i przeprowadzenie niezależnej oceny w celu zweryfikowania ich dostępności; obejmuje (ale nie ogranicza się do) tradycyjne środki bezpieczeństwa granic w połączeniu z modelem bezpieczeństwa domeny; tradycyjne zabezpieczenia obwodowe obejmują ograniczenie fizycznego dostępu do sieci i urządzeń, ochronę poszczególnych komponentów przed eksploatacją poprzez wdrażanie aktualizacji, domyślne ustawienie większości ustawień zabezpieczeń, wyłączanie wszystkich nieużywanych portów i usług, korzystanie z kontroli dostępu opartej na rolach, monitorowanie zapisów audytowych, minimalizowanie wykorzystywanych uprawnień, używanie pakietów antywirusowych i połączeń szyfrowanych;
♦ określenie zaufanych granic między usługodawcą (-ami) a konsumentami w celu zapewnienia jasnego upoważnienia do odpowiedzialności za zapewnienie bezpieczeństwa;
♦ wsparcie dla przenoszenia, realizowane tak, aby konsument miał możliwość zmiany dostawcy chmury w przypadkach, w których musi spełnić wymagania dotyczące integralności, dostępności, poufności; obejmuje to możliwość zamknięcia konta w danym momencie i kopiowania danych od jednego usługodawcy do drugiego.
Tak więc mapa drogowa standardów chmur obliczeniowych NIST, przyjęta przez NIST, określa podstawową listę ataków na systemy chmurowe oraz listę podstawowych zadań, które powinny
rozwiązane przez zastosowanie
odpowiednie środki.
Sformułujmy zagrożenia dla bezpieczeństwa informacji systemu chmurowego:
♦ U1 - zagrożenie (włamanie, dostępność itp.) Dla danych;
♦ U2 - zagrożenia generowane przez cechy strukturalne i możliwości architektury implementacji obliczeń rozproszonych;
♦ U4 - zagrożenia związane z nieprawidłowym modelem zagrożeń;
♦ U5 - zagrożenia związane z nieprawidłowym stosowaniem szyfrowania (szyfrowanie konieczne jest w środowisku, w którym występuje kilka strumieni danych);
♦ U6 - zagrożenia związane z wykorzystaniem niestandardowych API podczas programowania;
♦ U7 - zagrożenia wirtualizacyjne;
♦ U8 - zagrożenia wykorzystujące niespójności w globalnych politykach bezpieczeństwa.
Spojrzenie IBM na bezpieczeństwo przetwarzania w chmurze
Wytyczne IBM dotyczące bezpieczeństwa w chmurze Zalecenia IBM dotyczące wdrażania zabezpieczeń w chmurze pozwalają nam wyciągnąć wnioski dotyczące wizji bezpieczeństwa IBM. Na podstawie tego dokumentu możemy rozszerzyć proponowaną wcześniej listę zagrożeń, a mianowicie:
♦ U9 - zagrożenia związane z dostępem osób trzecich do zasobów fizycznych \\ systemów;
♦ U10 - zagrożenia związane z nieprawidłowym usuwaniem (cyklem życia) danych osobowych;
♦ U11 - zagrożenia związane z naruszeniem przepisów regionalnych, krajowych i międzynarodowych dotyczących przetwarzanych informacji.
Podejścia IBM, Oracle i VmWare do bezpieczeństwa przetwarzania w chmurze
Dostarczona przez te firmy dokumentacja opisująca ich poglądy na temat bezpieczeństwa w ich systemach nie różni się zasadniczo od powyższych zagrożeń.
Stół 1 wymienia główne klasy podatności sformułowane przez firmy w swoich produktach. Patka. 1 pozwala dostrzec brak pełnego pokrycia zagrożeń ze strony badanych firm i sformułować „rdzeń zagrożeń” tworzonych przez firmy w swoich systemach chmurowych:
♦ zagrożenie dla danych;
♦ zagrożenia oparte na strukturze / możliwościach przetwarzania rozproszonego;
♦ zagrożenia związane z nieprawidłowym modelem zagrożeń;
♦ zagrożenia związane z wirtualizacją.
Wniosek
Przegląd głównych klas luk w platformie chmurowej pozwala stwierdzić, że obecnie nie ma gotowych rozwiązań zapewniających pełną ochronę chmury ze względu na różnorodność ataków wykorzystujących te luki.
Należy zauważyć, że skonstruowana tabela klas podatności (tabela 1), integrująca podejścia wiodące
Tabela 1. Klasy podatności
Źródła deklarowane zagrożenia
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + - - -
IBM + + + + + - + - + + +
Słońce / wyrocznia + + + + - - + - - + -
VmWare + + + + - - + - - - -
ta branża graczy nie ogranicza się do przedstawionych w niej zagrożeń. Przykładowo nie odzwierciedla zagrożeń związanych z zacieraniem granic między środowiskami o różnym stopniu poufności danych, a także z zacieraniem granic odpowiedzialności za bezpieczeństwo informacji między konsumentem usługi a dostawcą chmury.
Staje się oczywiste, że aby wdrożyć złożony system chmurowy, należy opracować ochronę dla konkretnego wdrożenia. Również brak standardów FSTEC i FSB dla systemów chmurowych odgrywa ważną rolę we wdrażaniu bezpiecznego przetwarzania w środowiskach wirtualnych. Podkreślony w pracy „rdzeń zagrożeń” ma sens do wykorzystania w badaniu
zadanie zbudowania ujednoliconego modelu klas podatności. Artykuł ma charakter poglądowy, w przyszłości planowane jest szczegółowe przeanalizowanie klas zagrożeń związanych z wirtualizacją, wypracowanie podejść do stworzenia systemu ochrony, który potencjalnie zapobiegnie realizacji tych zagrożeń
Literatura
1. Wskazówki dotyczące bezpieczeństwa w chmurze Zalecenia IBM dotyczące wdrażania zabezpieczeń chmury, ibm.com/redbooks, 2 listopada 2009 r.
2. http://www.vmware.com/technical-resources/security/index.html.
3. Chmura NIST. Computing Reference Architecture, National Institute of Standards i. Technologia, publikacja specjalna. 500-292, wrzesień 2011.
4. Chmura NIST. Computing Standards Roadmap, National Institute of Standards i. Technologia, publikacja specjalna. 500-291, lipiec 2011.
5. http://www.oracle.com/technetwork/indexes/documentation/index.html.
Tydzień temu, jeśli chodzi o ustalenie priorytetów eliminacji luk w zabezpieczeniach. Nikita Remezov na Facebooku słusznie zauważył, że koncentruje się przede wszystkim na państwie i trzeba przyznać, że tak jest. Do tego schematu zaproponował dodanie powiązania z krytycznością skanowanych zasobów dla biznesu. Tak, i to też prawda, a metryki kontekstowe w CVSSv3 mogą w tym pomóc. Zaletą tej techniki jest jej prostota. Aby z niego skorzystać, nie potrzebujesz niczego poza skanerem bezpieczeństwa, który obsługuje CVSS. Chociaż nie jest nawet potrzebne. Luki w zabezpieczeniach można zidentyfikować, analizując ruch w sieci
| Lista luk zidentyfikowanych przez NGFW |
W ostatnich dwóch przypadkach pozostaje tylko wyładowanie wszystkich danych o podatnościach i nadanie im priorytetów zgodnie z opisaną metodą (można to łatwo zautomatyzować za pomocą zwykłego Excela).
Ale co robić w dużych organizacjach z dziesiątkami i setkami tysięcy urządzeń. Nawet jeśli wyobrazimy sobie, że każde urządzenie ma jedną lukę (a może znacznie więcej), liczba wierszy w programie Excel stanie się nieosiągalna do analizy i zestawienia listy dziur do wyeliminowania. Na przykład tak wygląda obraz całej sieci Cisco, w której znajduje się około pół miliona urządzeń (200 tysięcy urządzeń użytkowników, około pięćdziesiąt tysięcy urządzeń sieciowych, a także różne rzeczy związane z Internetem).
Szczegółowa mapa sieci nie poprawia znacząco sytuacji. Technika opisana w ostatnim poście nie pomoże w tak dużej sieci.
Czy to konieczne? Czy należy naprawić wszystkie luki? Nawet ci z CVSS większym niż 6,5? A co, jeśli spróbujemy obrać inną drogę i objąć nie wszystko w zakres prac nad eliminacją podatności, a tylko to, co można wykorzystać z zewnątrz? Przypomnijmy sobie historię z Equifax. Atakujący wykorzystali lukę w publicznym portalu internetowym i za jego pośrednictwem weszli do wewnętrznej sieci biur informacji kredytowej. Będzie o kilka rzędów wielkości mniej takich luk i to od nich możesz rozpocząć eliminację (z techniką lub bez).
Ale nawet tę liczbę luk można jeszcze bardziej zmniejszyć, wiążąc dziury z wektorami ataku, to znaczy analizując możliwe ścieżki, którymi mogą się posłużyć atakujący, aby dostać się do środka.
Zasadniczo mówimy o zbudowaniu wykresu ataku, który opiera się na danych o lukach, które można wykorzystać, aby dostać się z Internetu do wewnętrznej sieci firmy.
Interesujące są tylko te luki, które pozwalają dostać się do środka kombinacją wielu przejść. W pierwszej kolejności je wyeliminujemy. Zwróć uwagę na ilustrację. W sieci może być wiele dziur, ale prowadzi do nich tylko jedna ścieżka (oznaczona czerwoną linią). Eliminując podatność w strefie zdemilitaryzowanej, otrzymujemy możliwość znacznego zredukowania płaszczyzny przyszłego ataku, ograniczając ją tylko do strefy DMZ.
Oczywiście, aby wdrożyć to podejście, nie możemy zrobić tylko jednego skanera. Będziemy musieli skorzystać ze specjalistycznych rozwiązań do budowania wektorów ataku (Cisco ich nie ma - to nie jest reklama :-), które analizując ustawienia obecnej infrastruktury (sprzętu sieciowego i narzędzi ochrony), kojarzą je z podatnościami i pokazują skalę przyszłych problemów. W przypadku jednego z punktów dostępu do Internetu w firmie Cisco wygląda to tak.
Technika z ostatniego postu jest tania i nie wymaga dodatkowych kosztów, ale nie sprawdza się dobrze w dużych infrastrukturach. Opisane dzisiaj podejście jest bardziej praktyczne, ale wymaga również większych zasobów / wysiłku wdrożeniowego. Ale jest w pełni zautomatyzowany. Jednak ma też inną wadę. Zakłada, że \u200b\u200bnie mamy innych możliwości penetracji sieci firmowej lub że możemy je zminimalizować. Jeśli jednak w sieci jest niezabezpieczone Wi-Fi, użytkownicy są podatni na rzucane dyski flash, a zarząd może w niekontrolowany sposób przenosić swoje domowe laptopy i łączyć je z siecią wewnętrzną, to drugie podejście może stworzyć fałszywe poczucie bezpieczeństwa. Szukaj równowagi ...
2019
McAfee: 19 najlepszych praktyk w zakresie bezpieczeństwa w chmurze w 2019 r
Największą troską firm jest ochrona zewnętrznych usług w chmurze. Na przykład respondenci obawiają się, że incydenty mogą wystąpić od dostawców, którzy zlecają na zewnątrz procesy biznesowe, z usług chmurowych firm trzecich lub w infrastrukturze IT, w której firma dzierżawi moc obliczeniową. Jednak pomimo tych wszystkich obaw tylko 15% firm przeprowadza zewnętrzne przeglądy bezpieczeństwa.
„Pomimo faktu, że ostatnio włamania na dużą skalę miały miejsce w centrum danych, tradycyjne systemy bezpieczeństwa nadal koncentrują się wyłącznie na ochronie granic sieci i kontrolowaniu praw dostępu. Jednocześnie rzadko bierze się pod uwagę negatywny wpływ rozwiązań służących do ochrony infrastruktury fizycznej na wydajność środowisk wirtualnych - wyjaśnił Veniamin Levtsov, wiceprezes ds. Sprzedaży korporacyjnej i rozwoju biznesu w Kaspersky Lab. „Dlatego tak ważne jest w środowiskach konwergentnych stosowanie odpowiedniej, kompleksowej ochrony przy zabezpieczaniu systemów wirtualnych za pomocą dedykowanych rozwiązań. Wdrażamy podejście, w którym niezależnie od rodzaju infrastruktury dla wszystkich systemów zapewnione jest jednolite pokrycie całej sieci korporacyjnej. I w tym miejscu nasze technologie i nowoczesne rozwiązania VMware (takie jak mikro-segmentacja) doskonale się uzupełniają ”.
2015: Forrester: Dlaczego klienci są niezadowoleni z dostawców usług w chmurze?
Nieprzezroczysta chmura
Niedawne badanie przeprowadzone przez firmę Forrester Consulting pokazuje, że wiele organizacji uważa, że \u200b\u200bdostawcy usług w chmurze nie dostarczają im wystarczających informacji na temat ich interakcji z chmurą, co szkodzi ich działalności.
Oprócz braku przejrzystości istnieją inne czynniki, które osłabiają entuzjazm dla przejścia do chmury: poziom obsługi klienta, dodatkowe koszty i wdrażanie. Organizacje bardzo lubią chmurę, ale nie jej dostawców - lub nie tak bardzo.
Badanie zostało zlecone przez iland, dostawcę usług hostingowych w chmurze dla przedsiębiorstw i zostało przeprowadzone w maju i obejmowało specjalistów ds. Infrastruktury i konserwacji z 275 organizacji w Singapurze i Singapurze.
„Wśród całej złożoności dzisiejszej chmury jest kilka irytujących błędów” - pisze Lilac Schoenbeck, wiceprezes ds. Wsparcia produktu i marketingu w iland. „Te krytyczne metadane nie są przekazywane, co dramatycznie spowalnia wdrażanie chmury, a jednak organizacje przygotowują plany rozwoju w oparciu o założenie nieskończoności chmury”.
Gdzie jest klucz do osiągnięcia harmonii w relacjach biznesowych? Oto, co VAR muszą wiedzieć, aby spróbować rozwiązać problemy i doprowadzić strony do pojednania.
Brak uwagi dla klientów
Najwyraźniej wielu użytkowników chmury nie odczuwa tego osobistego kontaktu.
I tak 44% respondentów odpowiedziało, że ich dostawca nie zna ich firmy i nie rozumie ich potrzeb biznesowych, a 43% uważa, że \u200b\u200bgdyby ich organizacja była po prostu większa, to dostawca prawdopodobnie zwróciłby na nią większą uwagę. Krótko mówiąc, odczuwają chłód okazji kupowania usług w chmurze i nie podoba im się to.
I jeszcze jedno: jest taka praktyka, na którą zwróciła uwagę jedna trzecia ankietowanych firm, która też zaszczepia poczucie małostkowości w transakcji - pobiera opłatę za najmniejsze pytanie lub niezrozumiałość.
Za dużo tajemnic
Niechęć dostawcy do podania wszystkich informacji nie tylko denerwuje klientów, ale często kosztuje.
Wszyscy respondenci, którzy wzięli udział w ankiecie firmy Forrester, odpowiedzieli, że odczuwają pewien wpływ finansowy i wpływ na ich codzienne operacje z powodu brakujących lub prywatnych danych dotyczących korzystania z chmury.
„Brak jasnych danych na temat wykorzystania chmury prowadzi do problemów z wydajnością, trudności w raportowaniu kierownictwu na temat rzeczywistych kosztów użytkowania, rozliczeń za zasoby niewykorzystane przez użytkowników oraz nieprzewidzianych rachunków” - mówi Forrester.
Gdzie są metadane?
Dyrektorzy ds. Informatyki odpowiedzialni za infrastrukturę chmury w swoich organizacjach chcą wskaźników kosztów i wydajności, które zapewniają przejrzystość i przejrzystość, ale oczywiście trudno im to przekazać dostawcom.
Uczestnicy ankiety zauważyli, że otrzymywane przez nich metadane dotyczące obciążeń w chmurze są zwykle niekompletne. Prawie połowa firm odpowiedziała, że \u200b\u200bnie ma danych dotyczących zgodności z przepisami, 44% stwierdziło, że nie ma danych dotyczących użytkowania, 43% - żadnych danych historycznych, 39% - żadnych danych dotyczących bezpieczeństwa, a 33% - żadnych danych dotyczących rozliczeń i kosztów.
Kwestia przejrzystości
Respondenci twierdzą, że brak metadanych powoduje różnego rodzaju problemy. Prawie dwie trzecie ankietowanych stwierdziło, że brak przejrzystości uniemożliwia im pełne zrozumienie pełnych zalet chmury.
„Brak przejrzystości stwarza różnorodne problemy, głównie kwestię parametrów użytkowania i przestojów” - czytamy w raporcie.
Około 40% próbuje samodzielnie wypełnić te luki, kupując dodatkowe narzędzia od swoich własnych dostawców chmury, podczas gdy pozostałe 40% po prostu kupuje usługi od innego dostawcy, u którego występuje taka przejrzystość.
Zgodność z przepisami
W każdym razie organizacje są odpowiedzialne za wszystkie swoje dane, niezależnie od tego, czy są przechowywane lokalnie, czy są wysyłane do chmury.
Ponad 70% respondentów ankiety stwierdziło, że ich organizacje są regularnie kontrolowane i muszą udowodnić zgodność z obowiązującymi przepisami niezależnie od tego, gdzie znajdują się ich dane. Dla prawie połowy ankietowanych firm stanowi barierę dla przyjęcia chmury.
„Ale aspekt zgodności z przepisami musi być przejrzysty dla użytkowników końcowych. Kiedy dostawcy usług w chmurze ukrywają lub nie ujawniają tych informacji, uniemożliwiają Ci to ”- czytamy w raporcie.
Kwestie związane ze zgodnością
Ponad 60% ankietowanych firm stwierdziło, że problemy ze zgodnością ograniczają dalsze wdrażanie chmury.
Główne problemy to:
- 55% firm, które stanęły przed takimi wymaganiami, stwierdziło, że najtrudniej jest im wprowadzić odpowiednie kontrole.
- Mniej więcej połowa twierdzi, że trudno jest im zrozumieć poziom zgodności swojego dostawcy usług w chmurze.
- Kolejna połowa respondentów odpowiedziała, że \u200b\u200btrudno jest im uzyskać od dostawcy niezbędną dokumentację dotyczącą spełnienia tych wymagań, aby pozytywnie przejść audyt. A 42% ma trudności z uzyskaniem dokumentacji dotyczącej własnej zgodności z obciążeniami działającymi w chmurze.
Problemy z migracją
Proces on-boardingu wydaje się być kolejnym obszarem powszechnego niezadowolenia, a nieco ponad połowa ankietowanych firm odpowiedziała, że \u200b\u200bnie jest zadowolona z migracji i procesów wsparcia, które zaoferowali im dostawcy chmury.
Spośród 51% niezadowolonych z procesu migracji 26% stwierdziło, że trwało to zbyt długo, a 21% narzekało na brak udziału pracowników dostawcy na żywo.
Ponad połowa była również niezadowolona z procesu wsparcia: 22% wskazało na długie oczekiwanie na odpowiedź, 20% wskazało na niewystarczającą wiedzę personelu pomocniczego, 19% wskazało na długi proces rozwiązywania problemów, a 18% otrzymało faktury z wyższymi niż oczekiwane kosztami wsparcia.
Przeszkody na drodze do chmury
Wiele firm ankietowanych przez firmę Forrester jest zmuszonych do wstrzymywania planów ekspansji w chmurze z powodu problemów z istniejącymi usługami.
Co najmniej 60% odpowiedziało, że brak przejrzystości w użyciu, informacji o zgodności z przepisami i solidnego wsparcia powstrzymuje ich przed szerszym wykorzystaniem chmury. Respondenci twierdzą, że gdyby nie te problemy, przenieśliby więcej zadań do chmury.
2014
- Rola działów IT stopniowo się zmienia, ponieważ stają przed wyzwaniem dostosowania się do nowych realiów IT w chmurze. Działy IT muszą edukować pracowników w zakresie zagadnień związanych z bezpieczeństwem, opracowywać kompleksowe zasady zarządzania danymi i zgodności, opracowywać wytyczne dotyczące wdrażania chmury oraz ustalać zasady dotyczące tego, jakie dane mogą, a które nie mogą być przechowywane w chmurze.
- Działy IT są w stanie realizować swoją misję ochrony danych firmowych i jednocześnie pełnić rolę narzędzia we wdrażaniu „Shadow IT”, wdrażając środki zapewniające bezpieczeństwo danych, np. Wprowadzając podejście „encryption-as-a-service” (szyfrowanie w usługa "). Takie podejście umożliwia działom IT centralne zarządzanie ochroną danych w chmurze, umożliwiając innym częściom firmy niezależne wyszukiwanie i korzystanie z usług w chmurze w razie potrzeby.
- Ponieważ coraz więcej firm przechowuje swoje dane w chmurze, a ich pracownicy coraz częściej korzystają z usług w chmurze, działy IT muszą zwracać większą uwagę na wdrażanie lepszych mechanizmów kontroli dostępu użytkowników, takich jak uwierzytelnianie wieloskładnikowe. Jest to szczególnie ważne w przypadku firm, które zapewniają stronom trzecim i dostawcom dostęp do swoich danych w chmurze. Rozwiązania uwierzytelniania wieloskładnikowego mogą być zarządzane centralnie i zapewniają bezpieczniejszy dostęp do wszystkich aplikacji i danych, niezależnie od tego, czy znajdują się one w chmurze, czy na własnym sprzęcie firmy.
Dane Ponemon i SafeNet
Większość organizacji IT nie zdaje sobie sprawy, w jaki sposób dane korporacyjne są chronione w chmurze, w wyniku czego firmy narażają konta użytkowników i poufne informacje na ryzyko. To tylko jeden z wniosków niedawnego badania przeprowadzonego jesienią 2014 r. Na zlecenie Ponemon Institute for SafeNet. W badaniu zatytułowanym „Wyzwania zarządzania informacjami w chmurze: globalne badanie bezpieczeństwa danych” przeprowadzono ankietę wśród ponad 1800 specjalistów w dziedzinie technologii informatycznych i bezpieczeństwa IT na całym świecie.
Badanie wykazało między innymi, że chociaż organizacje w coraz większym stopniu wykorzystują moc przetwarzania w chmurze, korporacyjne działy IT stoją przed wyzwaniami związanymi z zarządzaniem i zabezpieczaniem danych w chmurze. Badanie wykazało, że tylko 38% organizacji ma jasno określone role i obowiązki w zakresie ochrony poufnych i innych wrażliwych informacji w chmurze. Co gorsza, 44% danych firmowych przechowywanych w chmurze nie jest kontrolowanych ani zarządzanych przez działy IT. Ponadto ponad dwie trzecie (71%) ankietowanych wskazało, że napotyka coraz większe trudności przy stosowaniu tradycyjnych mechanizmów i metod zapewnienia bezpieczeństwa w celu ochrony poufnych danych w chmurze.
Wraz z rosnącą popularnością infrastruktur chmurowych rośnie ryzyko wycieku poufnych danych. Około dwie trzecie ankietowanych specjalistów IT (71%) potwierdziło, że przetwarzanie w chmurze ma obecnie ogromne znaczenie dla korporacji, a ponad dwie trzecie (78%) uważa, że \u200b\u200bprzetwarzanie w chmurze pozostanie aktualne i w dwa lata. Ponadto respondenci szacują, że około 33% wszystkich potrzeb ich organizacji w zakresie technologii informatycznych i infrastruktury przetwarzania danych można dziś zaspokoić za pomocą zasobów chmurowych, a w ciągu najbliższych dwóch lat udział ten wzrośnie do średnio 41%.
Jednak większość respondentów (70%) zgadza się, że spełnienie wymagań dotyczących zachowania poufności danych i ich ochrony w środowisku chmurowym jest coraz trudniejsze. Ponadto rodzaje danych korporacyjnych przechowywanych w chmurze, takie jak adresy e-mail, dane klientów i informacje o płatnościach, są najbardziej narażone na wycieki ze strony respondentów.
Średnio ponad połowa wszystkich usług w chmurze w przedsiębiorstwach jest wdrażana przez zewnętrzne działy, a nie korporacyjne działy IT, a średnio około 44% danych korporacyjnych hostowanych w chmurze nie jest kontrolowanych ani zarządzanych przez działy IT. W rezultacie tylko 19% ankietowanych mogło powiedzieć, że są przekonani, że wiedzą o wszystkich aplikacjach chmurowych, platformach lub usługach infrastrukturalnych, które są obecnie używane w ich organizacjach.
Wraz z brakiem kontroli nad instalacją i korzystaniem z usług w chmurze, wśród respondentów nie było zgody co do tego, kto faktycznie odpowiada za bezpieczeństwo danych przechowywanych w chmurze. Trzydzieści pięć procent respondentów stwierdziło, że odpowiedzialność jest dzielona między użytkowników i dostawców chmury, 33% uważa, że \u200b\u200bodpowiedzialność spoczywa wyłącznie na użytkownikach, a 32% uważa, że \u200b\u200bdostawca chmury jest odpowiedzialny za bezpieczeństwo danych.
Ponad dwie trzecie (71%) respondentów stwierdziło, że ochrona poufnych danych użytkownika przechowywanych w chmurze przy użyciu tradycyjnych narzędzi i metod bezpieczeństwa staje się coraz trudniejsza, a około połowa (48%) twierdzi, że coraz trudniej jest im kontrolować lub ograniczać dostęp użytkowników końcowych do danych w chmurze. W rezultacie ponad jedna trzecia (34%) ankietowanych specjalistów IT stwierdziła, że \u200b\u200bich organizacje wdrożyły już polityki korporacyjne, które wymagają stosowania takich mechanizmów bezpieczeństwa, jak szyfrowanie, jako warunku wstępnego do pracy z niektórymi usługami przetwarzania w chmurze. Siedemdziesiąt jeden (71) procent ankietowanych wskazało, że możliwość szyfrowania lub tokenizacji poufnych lub innych wrażliwych danych ma dla nich ogromne znaczenie, a 79% uważa, że \u200b\u200bznaczenie tych technologii wzrośnie w ciągu najbliższych dwóch lat.
Na pytanie, co dokładnie robią ich firmy, aby chronić swoje dane w chmurze, 43% respondentów stwierdziło, że ich organizacje używają sieci prywatnych do przesyłania danych. Około dwie piąte (39%) respondentów stwierdziło, że ich firmy używają szyfrowania, tokenizacji i innych narzędzi kryptograficznych do ochrony danych w chmurze. Kolejne 33% ankietowanych nie wie, jakie rozwiązania zabezpieczające są stosowane w ich organizacjach, a 29% twierdzi, że korzysta z płatnych usług bezpieczeństwa świadczonych przez ich dostawców usług w chmurze.
Respondenci uważają również, że zarządzanie korporacyjnymi kluczami szyfrującymi jest niezbędne do zabezpieczenia danych w chmurze, biorąc pod uwagę rosnącą liczbę platform zarządzania kluczami i szyfrowania używanych w ich firmach. W szczególności 54% respondentów stwierdziło, że ich organizacje zachowują kontrolę nad kluczami szyfrującymi podczas przechowywania danych w chmurze. Jednak 45% ankietowanych stwierdziło, że przechowują klucze szyfrowania w oprogramowaniu, w tym samym miejscu, w którym przechowywane są same dane, a tylko 27% przechowuje klucze w bezpieczniejszych środowiskach, na przykład na urządzeniach sprzętowych.
Jeśli chodzi o dostęp do danych przechowywanych w chmurze, sześćdziesiąt osiem (68) procent respondentów twierdzi, że zarządzanie kontami użytkowników w środowisku chmury staje się coraz trudniejsze, a sześćdziesiąt dwa (62) procent respondentów twierdzi, że mają dostęp do chmury w swoich organizacjach. przewidziane dla osób trzecich. Około połowa (46 procent) ankietowanych stwierdziła, że \u200b\u200bich firmy używają uwierzytelniania wieloskładnikowego do ochrony dostępu stron trzecich do danych przechowywanych w chmurze. Mniej więcej tyle samo (48 proc.) Respondentów stwierdziło, że ich firmy używają technologii uwierzytelniania wieloskładnikowego, w tym do ochrony dostępu pracowników do chmury.
2013: Badanie Cloud Security Alliance
Cloud Security Alliance (CSA), organizacja branżowa non-profit, która promuje ochronę w chmurze, niedawno zaktualizowała swoją listę Top Threats w raporcie zatytułowanym „Cloud Evil: Top 9 Threats in Cloud Services in 2013”.
CSA wskazuje, że raport odzwierciedla konsensus ekspertów co do najważniejszych zagrożeń bezpieczeństwa w chmurze i koncentruje się na zagrożeniach wynikających ze współdzielenia zasobów chmury i uzyskiwania do nich dostępu na żądanie przez wielu użytkowników.
A więc główne zagrożenia ...
Kradzież danych
Kradzież poufnych informacji korporacyjnych zawsze onieśmiela organizacje w każdej infrastrukturze IT, ale model chmury otwiera „nowe, znaczące ścieżki ataku” - podkreśla CSA. „Jeśli baza danych w chmurze z wieloma dzierżawami nie jest dobrze przemyślana, usterka w aplikacji jednego klienta może dać atakującym dostęp nie tylko do danych tego klienta, ale także do wszystkich innych użytkowników chmury” - ostrzega CSA.
Każda „chmura” ma kilka poziomów ochrony, z których każdy chroni informacje przed różnymi typami „ataków”.
Na przykład fizyczna ochrona serwera. Nie mówimy tutaj nawet o hakowaniu, ale o kradzieży lub uszkodzeniu nośników informacji. Przeniesienie serwera z pokoju może być trudne w najprawdziwszym tego słowa znaczeniu. Ponadto każda szanująca się firma przechowuje informacje w centrach danych z zabezpieczeniami, nadzorem wideo i ograniczonym dostępem nie tylko dla osób z zewnątrz, ale także dla większości pracowników firmy. Zatem prawdopodobieństwo, że napastnik po prostu przyjdzie i zabierze informacje, jest bliskie zeru.
Tak jak doświadczony podróżnik, obawiający się kradzieży, nie trzyma wszystkich swoich pieniędzy i kosztowności w jednym miejscu,
