"Siedem grzechów głównych" bezpieczeństwa w chmurach
Eksperci ds. bezpieczeństwa ostrzegają organizacje wkraczające w obszar cloud computing, że chociaż takie pojęcia jak "wielodzierżawność" czy "wirtualizacja" mogą wydawać się im znajome, to jeszcze nie znaczy, że rozumieją wszystko, co jest związane z przeniesieniem aplikacji "w chmurę".
W ocenie specjalistów zajmujących się bezpieczeństwem, organizacje często wchodzą w obszar cloud computing zbyt szybko, a potrzebne tu jest podejście pragmatyczne, oparte na kalkulacji ryzyka, zrozumieniu tego ryzyka oraz rozpoznaniu możliwości jego obniżenia.
CSA, we współpracy z Hewlett-Packard, przygotowała listę "siedmiu grzechów głównych" bezpieczeństwa w chmurze. Lista ta powstała na podstawie ankiety przeprowadzonej wśród 29 przedsiębiorstw, dostawców technologii i firm konsultingowych.
1. Utrata lub wyciek danych. Jest to skutek niedostatecznej kontroli nad danymi w chmurze. Niektóre aplikacje mogą dopuszczać wycieki danych z powodu słabości API kontroli dostępu oraz systemu generowania, przechowywania i zarządzania kluczami. Może to być też skutek braku odpowiedniej polityki zabezpieczającej przed uszkodzeniem danych.
2. Słabe punkty technologii współdzielenia zasobów. W chmurze pojedynczy błąd w konfiguracji może powielać się w całym środowisku, gdzie wiele wirtualnych serwerów wykorzystuje te same ustawienia konfiguracyjne.
3.Napastnik wewnętrzny. Poziom kontroli zaplecza osobowego, jaki zapewnia dostawca usług cloud może różnić się od stosowanego w centrach danych przedsiębiorstw. Ważna jest tu ocena dostawcy usługi i przedstawienie przez niego poziomu sprawdzenia pracowników.
4.Uprowadzanie kont, usług i ruchu. W chmurze koncentruje się mnóstwo danych, aplikacji i zasobów, a przy słabym systemie uwierzytelniania napastnik może uzyskać dostęp do kont i dostać się do wirtualnych maszyn użytkownika.
5.Niezabezpieczone API. Przy projektowaniu aplikacji ważne jest, aby mieć na uwadze fakt, że cloud to nowa platforma, a nie tylko forma outsourcingu. Dlatego proces cyklu życia aplikacji powinno się weryfikować pod kątem zwrócenia szczególnej uwagi projektantów na uwierzytelnianie, kontrolę dostępu i szyfrowanie.
6.Nadużywanie lub wykorzystanie w niecnych celach cloud computing. Napastnicy są na ogół bardziej "postępowi" w wykorzystywaniu nowych technologii i szybko stwarzają nowe zagrożenia, powiązane z możliwością łatwego skalowania w cloud.
7.Nieznany profil ryzyka. Istnieją problemy przejrzystości związane z dostawcami cloud. Konto użytkownika jedynie współdziała z interfejsem sytemu dostawcy i tak naprawdę nie wiadomo, z jakich platform i jak połatanych korzysta dostawca.
Te "siedem grzechów" to oczywiście nie jedyne problemy bezpieczeństwa, ale pokzaują, jak szybko zmienia się sytuacja w zakresie bezpieczeństwa cloud. Specjaliści zajmujący się bezpieczeństwem muszą uwzględniać wiele czynników, które wpływają na działania biznesowe i oceniać, czy mieszczą się one w granicach dopuszczalnego ryzyka. Chociaż organizacje mogą mieć zaufanie do cloud, to jednak nie uwalnia je to od odpowiedzialności za własne bezpieczeństwo.
Komentarze (1)
O grzechach można mówić wtedy, gdy ktoś może je popełnić lub nie. Tu zaś mowa jest raczej o zagrożeniach, na występowanie których korzystający z cloud computing nie ma żadnego wpływu - na tym etapie rozwoju tej techniki one po prostu są i już: take it or leave it...
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Serwery "zombie" w centrum danych
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...