Відкрити головне меню

Безпека хмарних обчислень

Проблеми, пов'язані з безпекою у хмаріРедагувати

Хмарні обчислення та рішення для зберігання даних надають користувачам і підприємствам різні можливості для зберігання і обробки їх даних у центрах обробки даних сторонніх виробників.[1] Організації використовують хмарні технології в різноманітних моделях обслуговування (SaaS, PaaS, та IaaS) та розробницьких моделях (Private, Public, Hybrid, та Community).[2] Є ряд питань / проблеми, пов'язані з безпекою хмарних обчислень, але ці питання діляться на дві великі категорії: питання безпеки, з якими стикаються під час використання хмарних послуг (організації, які надають програмне забезпечення, платформи, чи інфраструктуру як послуги через використання хмарних технологій) і питання безпеки, з якими стикаються їх клієнтів (компанії або організації, які розгортають додотки або зберігають дані на хмарі).[3] Відповідальність йде в обох напрямках, тобто: постачальник повинен гарантувати, що їх інфраструктура знаходиться в безпеці і що дані та додатки клієнтів захищені, в той час як користувач повинен вживати заходи, щоб зміцнювати їх застосування, використовувати надійні паролі і перевірку автентичності.

Коли організація вибирає для зберігання даних або розгортання додатків публічному хмарі, вона втрачає можливість мати фізичний доступ до серверів з  інформацію. В результаті, конфіденційні дані не зазнають ризику інсайдерських атак. Згідно з недавнім звітом від Cloud Security Alliance, інсайдерські атаки треті за величиною загрози в області хмарних обчислень.[4] Таким чином, постачальники хмарних послуг повинні забезпечити, ретельні перевірки для співробітників, що мають фізичний доступ до серверів в центрі даних. Крім того, центри обробки даних повинні постійно контролювати підозрілу активність.

Для того, щоб зберегти ресурси, скоротити витрати, та зберегти ефективність, провайдери хмарних послуг часто зберігають більше одного разу дані клієнта на тому ж сервері. В результаті, існує ймовірність того, що особисті дані одного користувача можуть бути доступні іншим користувачам (можливо, навіть конкурентам). Для вирішення таких складних ситуаціях, постачальники хмарних послуг повинні забезпечувати правильну ізоляцію даних і логічні сегрегації зберігання.[2]

Широке використання віртуалізації в реалізації хмарної інфраструктури спричиняє проблеми безпеки для клієнтів або орендарів публічного хмарного сервісу.[5] Віртуалізація змінює відношення між ОС і базовим обладнанням — будь то обчислення, зберігання чи мережі. Це вносить додатковий шар — віртуалізації — що сам по собі повинен бути правильно налаштований та закріплений.[6] Певні проблеми мають можливе рішення — компромісне програмне забезпечення віртуалізації, або «гіпервізор». У той час як ці проблеми мають здебільшого теоретичний характер, вони все ж існують.[7] Наприклад, порушення  у роботі з управлінським програмним забезпеченням, що керує віртуалізацією може вивести з ладу весь датацентр або може бути зміненозловмисником поіншому.

Управління безпекою у хмаріРедагувати

Архітектура безпеки хмари є ефективною, тільки якщо правильно реалізовано захист на місці. Ефективна архітектура безпеки хмари  визначає проблеми, які виникатимуть з керуванням безпеки.[8] Управління безпеки усуває проблеми пов'язані з контролем безпеки. Ці елементи управління вступають в дію для захисту будь-яких недоліків в системі і зменшення впливів атак. Існує багато типів управління архітектурною безпекою хмари, вони зазвичай можуть бути знайдені в одній з наступних категорій:[8]

Стримуюче управління
Ці елементи управління призначені для зниження атаки на хмарні системи. Це виглядає як застерження, стримуюче управління зазвичай знижують рівень загрози шляхом інформування потенційних зловмисників, що будуть несприятливі наслідки для них, якщо вони продовжать атакувати хмарну систему.
Профілактичне управління
Профілактичне управління зміцнює систему, захищає від інцидентів, як правило, за рахунок скорочення, хоча насправді не виключаючи, уразливості. Сувора аутентифікація хмарних користувачів, наприклад, робить менш імовірним, що неавторизовані користувачі можуть отримати доступ до хмарних систем, і більш імовірним, що хмарні користувачі позитивно визначені.
Детективне управління
Детективне управління призначене для виявлення і відповідним чином реагування на будь-які інциденти, які відбуваються. У разі нападу, детективне управління буде сигналізувати профілактичне або коригуюче управління для вирішення цього питання.[8]Система моніторингу та безпеки мережі, в тому числі виявлення і запобігання вторгнень, як правило, використовується для виявлення атак на хмарні системи та інфраструктури підтримки комунікацій.
Коригуюче управління
Коригуюче управління зменшує наслідки інциденту, як правило, шляхом обмеження збитку. Воно вступає в дію під час або після інциденту. Відновлення резервних копій системи для того, щоб відновити заражену систему є прикладом коригуючого управління.

Розміри безпеки у хмаріРедагувати

Рекомендується, що контроль інформаційної безпеки повинен бути вибраний і реалізований відповідно і в пропорції до ризиків, як правило, шляхом оцінки загроз, вразливостей і впливів. Проблеми безпеки хмари можуть бути згруповані різними способами; Гартнер назвав сім[9] в той час як Cloud Security Alliance визначили чотирнадцять проблемних областей .[10][11] Cloud Application Security Brokers (CASB) використовуються, щоб додати додаткову безпеку хмарних сервісів.[12]

Безпека та приватністьРедагувати

Управління ідентифікацією
Кожне підприємство буде мати свою власну [[ identity management system|систему управління ідентифікацією]] для контролю доступу до інформаційних і обчислювальних ресурсів. Постачальники хмарних сервісів для того щоб інтегрувати систему управління ідентифікацією клієнта в їх власну інфраструктуру, використовують [[Federated identity|федерації]] або [[Single sign-on|технології єдиного входу]], або системи біометричної ідентифікації ,[1]або надають свої власні рішення з управління ідентифікацією.[13] CloudID,[1] наприклад, забезпечує конфіденційність, для хмарних і крос-підприємств використовуючи біометричну ідентифікацію як вирішення для цієї проблеми. Він пов'язує конфіденційну інформацію користувачів до їх біометричних даних і зберігає її в зашифрованому стані.[1]
Фізична безпека
Провайдери хмарних сервісів фізично захищають ІТ-обладнання (сервери, маршрутизатори, кабелі і т. д.) від несанкціонованого доступу, крадіжки перешкод, пожеж, повеней і т. д., і забезпечують, щоб основні ресурси (наприклад, електроенергія) є достатніми, щоб звести до мінімуму можливість зриву. Це звичайно досягається шляхом обслуговування хмарних додатків від «світового класу» (тобто професійно визначенні, спроектовані, побудовані, керовані, з відповідним моніторингом та підтримкою) центрів обробки даних.
Безпека персоналу
Різні проблеми інформаційної безпеки, пов'язані з ІТ та іншими фахівцями, пов'язаними з хмарними сервісами, як правило, такі як безпека відбору потенційних новобранців, питаня безпеки та навчальних програм, проактивного моніторингу безпеки та нагляду, дисциплінарних процедур і договірні зобов'язання, включені в трудових договорах, угодах про рівень обслуговування, кодекси поведінки, політика тощо
Доступність
Провайдери хмарних сервісів повинні гарантувати, що клієнти можуть розраховувати на доступ до своїх даних і додатків, принаймні (невдачі в будь-якій точці — не тільки в рамках доменів хмарних сервісів — може порушити ланцюг зв'язку між користувачами і додатками).
Безпека додатків
Провайдери хмарних сервісів повинні гарантувати, що додатки, доступні як служби через хмарні технології (SaaS) є забезпечені документуванням, проектуванням, впровадженням, тестуванням і підтримкою належних заходів безпеки додатків у виробничому середовищі. Зверніть увагу, що — як і в будь-якому комерційному програмному забезпеченні — елементи управління, які воно здійснюює, можливо, не завжди повною мірою передбачені всі ризики, і що вони не обов'язково визначили всі ризики, які хвилюють клієнтів. Отже, клієнтам також необхідно впевнитися в тому, що хмарні додатки адекватно забезпечені для своїх конкретних цілей.
Приватність
Провайдери гарантують, що всі критичні дані (номери кредитних карт, наприклад) маскуються або шифруються і що тільки авторизовані користувачі мають доступ до даних в цілому. Крім того, цифрові ідентифікатори і облікові дані повинні бути захищені як і будь-які дані, які постачальник збирає або генерує про діяльність клієнта в хмарі.

Ефективне шифруванняРедагувати

Деякі передові алгоритми шифрування, які були застосовані в хмарних обчислень збільшують захист приватного життя.

Attribute-Based Encryption AlgorithmРедагувати

Політика зашифрованого тексту ABE (CP-ABE)Редагувати

У CP-ABE, шифрування контролює стратегію доступу, а стратегія стає все більш комплексною, дизайн відкритого ключа системи стає більш складним, і безпека системи стає складнішою. Основна дослідницька робота CP-ABE орієнтована на проектування структури доступу.[14]

Політика генерування ключів ABE (KP-ABE)Редагувати

У KP-ABE, набори атрибутів використовуються для пояснення зашифрованих текстів та особистих ключів із зазначеними зашифрованими текстами, які користувачі зможуть розшифрувати.[15]

УзгодженняРедагувати

Численні закони і правила відносяться до збереження та використання даних. У США до них відносяться закони захисту персональних чи приватних даних, Payment Card Industry — Data Security Standard (PCI DSS), the Health Insurance Portability and Accountability Act (HIPAA), the Sarbanes-Oxley Act, the Federal Information Security Management Act of 2002 (FISMA), та Children's Online Privacy Protection Act of 1998, та інші.

Подібні закони можуть застосовуватися в різних правових системах і можуть відрізнятися досить помітно тих, що в США. Користувачі хмарних сервісів часто хочуть бути в курсі правових та нормативних відмінностей між юрисдикціями. Наприклад, дані, що зберігаються на постачальника хмарних послуг можуть бути розташовані, скажімо, в Сінгапурі і дзеркальні в США. [16]

Безперервність бізнесу і відновлення даних
Провайдери хмарних сервісів надають можливості для  безпереривного бізнесу та відновлення даних, щоб гарантувати, що обслуговування може підтримуватися у разі стихійного лиха чи надзвичайної ситуації, і що будь-які втрачені дані будуть відновлені.[17]
Логи та журнали аудиту
На додаток до виробництва логів та журналів аудиту, хмарні провайдери працюють зі своїми клієнтами, щоб переконатися, що ці журнали й аудиторські записи належним чином закріплені, підтримуватися до тих пір, поки клієнту це потрібно (e.g., eDiscovery).
Унікальні вимоги погодження

На додаток до вимог, які клієнту пропонують центри обробки даних, використовувані провайдерами хмарних сервісів також можуть бути визначенні вимог дотримання умов використання. Використання постачальника хмарних послуг (CSP), може призвести до додаткових проблем безпеки навколо юрисдикції даних, оскільки дані про клієнтів або орендарів не можуть залишатися в тій же системі, або в одному центрі обробки даних або навіть в межах одного і того ж хмарного провайдера.:[18]

Юридичні та договірні питанняРедагувати

Крім питань безпеки та дотримання перерахованих вище вимог, хмарними провайдерами та їх клієнтами варто обговорити умови навколо відповідальності (що передбачаєть при інцидентах, пов'язаних з втратою даних, наприклад), інтелектуальнох власності, і на кінець в обслуговуванні (коли дані і додатки, в кінцевому рахунку повертається клієнтові). Крім того, існують інструкції для отримання даних із хмари, які можуть брати участь у судовомих процесах.[19] Ці питання описані в угоді про рівень послуг (SLA).

Публічні записиРедагувати

Юридичні питання можуть також включати в себе вимоги по підтриманню записів в державному секторі, де багато установ відповідно до законодавства, щоб зберегти і зробити доступними електронні записи в певному вигляді. Державні органи, що використовують хмарні обчислення і зберігання повинні приймати ці інструкції до уваги.

ПосиланняРедагувати

  1. а б в г Haghighat, M., Zonouz, S., & Abdel-Mottaleb, M. (2015).
  2. а б Srinavasin, Madhan (2012). 'State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment. ACM ICACCI'. 
  3. Swamp Computing a.k.a. Cloud Computing. Web Security Journal. 2009-12-28. Процитовано 2010-01-25. 
  4. Top Threats to Cloud Computing v1.0. Cloud Security Alliance. Процитовано 2014-10-20. 
  5. Winkler, Vic. Cloud Computing: Virtual Cloud Security Concerns. Technet Magazine, Microsoft. Процитовано 12 February 2012. 
  6. Hickey, Kathleen. Dark Cloud: Study finds security risks in virtualization. Government Security News. Процитовано 12 February 2012. 
  7. Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. с. 59. ISBN 978-1-59749-592-9. Архів оригіналу за 29 липень 2012. Процитовано 27 листопад 2015. 
  8. а б Krutz, Ronald L., and Russell Dean Vines.
  9. Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02. Процитовано 2010-01-25. 
  10. Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011. Процитовано 2011-05-04. [недоступне посилання з травень 2019]
  11. Cloud Security Front and Center. Forrester Research. 2009-11-18. Архів оригіналу за 2009-11-24. Процитовано 2010-01-25. 
  12. Cloud Access Security Brokers (CASBs) - Gartner IT Glossary. Процитовано 2015-10-01. 
  13. Identity Management in the Cloud. Information Week. 2013-10-25. Процитовано 2013-06-05. 
  14. SU, Jin-Shu; CAO, Dan; WANG, Xiao-Feng; SUN, Yi-Pin; HU, Qiao-Lin. Attribute-Based Encryption Schemes. Journal of Software 22 (6). с. 1299–1315. doi:10.3724/sp.j.1001.2011.03993. 
  15. Attrapadung, Nuttapong; Herranz, Javier; Laguillaumie, Fabien; Libert, Benoît; de Panafieu, Elie; Ràfols, Carla (2012-03-09). Attribute-based encryption schemes with constant-size ciphertexts. Theoretical Computer Science 422. с. 15–38. doi:10.1016/j.tcs.2011.12.004. 
  16. Managing legal risks arising from cloud computing. DLA Piper. Процитовано 2014-11-22. 
  17. It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery. Dell.com. Архів оригіналу за 2012-05-15. Процитовано 2012-03-26. 
  18. Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. с. 65, 68, 72, 81, 218–219, 231, 240. ISBN 978-1-59749-592-9. Архів оригіналу за 29 липень 2012. Процитовано 27 листопад 2015. 
  19. Adams, Richard (2013). 'The emergence of cloud storage and the need for a new digital forensic process model. Murdoch University. 

ПриміткиРедагувати

Див. такожРедагувати