Безпека хмарних обчислень

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Безпека хмарних обчислень
Зображення

Безпека хмарних обчислень, або простіше кажучи, безпека у хмарі є піддоменом комп'ютерної безпеки, безпеки мережі, і  в більш широкому сенсі, інформаційної безпеки. Це відноситься до широкого набору технологій та управлінських механізмів, розгорнутих для захисту даних, додатків і пов'язаної з ними інфраструктури хмарних обчислень.

Проблеми, пов'язані з безпекою у хмарі

[ред. | ред. код]

Хмарні обчислення та рішення для зберігання даних надають користувачам і підприємствам різні можливості для зберігання і обробки їх даних у центрах обробки даних сторонніх виробників.[1] Організації використовують хмарні технології в різноманітних моделях обслуговування (SaaS, PaaS, та IaaS) та розробницьких моделях (Private, Public, Hybrid, та Community).[2] Є ряд питань / проблеми, пов'язані з безпекою хмарних обчислень, але ці питання діляться на дві великі категорії: питання безпеки, з якими стикаються під час використання хмарних послуг (організації, які надають програмне забезпечення, платформи, чи інфраструктуру як послуги через використання хмарних технологій) і питання безпеки, з якими стикаються їх клієнтів (компанії або організації, які розгортають додотки або зберігають дані на хмарі).[3] Відповідальність йде в обох напрямках, тобто: постачальник повинен гарантувати, що їх інфраструктура знаходиться в безпеці і що дані та додатки клієнтів захищені, в той час як користувач повинен вживати заходи, щоб зміцнювати їх застосування, використовувати надійні паролі і перевірку автентичності.

Коли організація вибирає для зберігання даних або розгортання додатків публічному хмарі, вона втрачає можливість мати фізичний доступ до серверів з  інформацію. В результаті, конфіденційні дані не зазнають ризику інсайдерських атак. Згідно з недавнім звітом від Cloud Security Alliance, інсайдерські атаки треті за величиною загрози в області хмарних обчислень.[4] Таким чином, постачальники хмарних послуг повинні забезпечити, ретельні перевірки для співробітників, що мають фізичний доступ до серверів в центрі даних. Крім того, центри обробки даних повинні постійно контролювати підозрілу активність.

Для того, щоб зберегти ресурси, скоротити витрати, та зберегти ефективність[5], провайдери хмарних послуг часто зберігають більше одного разу дані клієнта на тому ж сервері. В результаті, існує ймовірність того, що особисті дані одного користувача можуть бути доступні іншим користувачам (можливо, навіть конкурентам). Для вирішення таких складних ситуаціях, постачальники хмарних послуг повинні забезпечувати правильну ізоляцію даних і логічні сегрегації зберігання.[2]

Широке використання віртуалізації в реалізації хмарної інфраструктури спричиняє проблеми безпеки для клієнтів або орендарів публічного хмарного сервісу.[6] Віртуалізація змінює відношення між ОС і базовим обладнанням — будь то обчислення, зберігання чи мережі. Це вносить додатковий шар — віртуалізації — що сам по собі повинен бути правильно налаштований та закріплений.[7] Певні проблеми мають можливе рішення — компромісне програмне забезпечення віртуалізації, або «гіпервізор». У той час як ці проблеми мають здебільшого теоретичний характер, вони все ж існують.[8] Наприклад, порушення  у роботі з управлінським програмним забезпеченням, що керує віртуалізацією може вивести з ладу весь датацентр або може бути зміненозловмисником поіншому.

Управління безпекою у хмарі

[ред. | ред. код]

Архітектура безпеки хмари є ефективною, тільки якщо правильно реалізовано захист на місці. Ефективна архітектура безпеки хмари  визначає проблеми, які виникатимуть з керуванням безпеки.[9] Управління безпеки усуває проблеми пов'язані з контролем безпеки. Ці елементи управління вступають в дію для захисту будь-яких недоліків в системі і зменшення впливів атак. Існує багато типів управління архітектурною безпекою хмари, вони зазвичай можуть бути знайдені в одній з наступних категорій:[9]

Стримуюче управління
Ці елементи управління призначені для зниження атаки на хмарні системи. Це виглядає як застерження, стримуюче управління зазвичай знижують рівень загрози шляхом інформування потенційних зловмисників, що будуть несприятливі наслідки для них, якщо вони продовжать атакувати хмарну систему.
Профілактичне управління
Профілактичне управління зміцнює систему, захищає від інцидентів, як правило, за рахунок скорочення, хоча насправді не виключаючи, уразливості. Сувора аутентифікація хмарних користувачів, наприклад, робить менш імовірним, що неавторизовані користувачі можуть отримати доступ до хмарних систем, і більш імовірним, що хмарні користувачі позитивно визначені.
Детективне управління
Детективне управління призначене для виявлення і відповідним чином реагування на будь-які інциденти, які відбуваються. У разі нападу, детективне управління буде сигналізувати профілактичне або коригуюче управління для вирішення цього питання.[8]Система моніторингу та безпеки мережі, в тому числі виявлення і запобігання вторгнень, як правило, використовується для виявлення атак на хмарні системи та інфраструктури підтримки комунікацій.
Коригуюче управління
Коригуюче управління зменшує наслідки інциденту, як правило, шляхом обмеження збитку. Воно вступає в дію під час або після інциденту. Відновлення резервних копій системи для того, щоб відновити заражену систему є прикладом коригуючого управління.

Розміри безпеки у хмарі

[ред. | ред. код]

Рекомендується, що контроль інформаційної безпеки повинен бути вибраний і реалізований відповідно і в пропорції до ризиків, як правило, шляхом оцінки загроз, вразливостей і впливів. Проблеми безпеки хмари можуть бути згруповані різними способами; Гартнер назвав сім[10] в той час як Cloud Security Alliance визначили чотирнадцять проблемних областей .[11][12] Cloud Application Security Brokers (CASB) використовуються, щоб додати додаткову безпеку хмарних сервісів.[13]

Безпека та приватність

[ред. | ред. код]
Управління ідентифікацією
Кожне підприємство буде мати свою власну [[ identity management system|систему управління ідентифікацією]] для контролю доступу до інформаційних і обчислювальних ресурсів. Постачальники хмарних сервісів для того щоб інтегрувати систему управління ідентифікацією клієнта в їх власну інфраструктуру, використовують [[Federated identity|федерації]] або [[Single sign-on|технології єдиного входу]], або системи біометричної ідентифікації ,[1]або надають свої власні рішення з управління ідентифікацією.[14] CloudID,[1] наприклад, забезпечує конфіденційність, для хмарних і крос-підприємств використовуючи біометричну ідентифікацію як вирішення для цієї проблеми. Він пов'язує конфіденційну інформацію користувачів до їх біометричних даних і зберігає її в зашифрованому стані.[1]
Фізична безпека
Провайдери хмарних сервісів фізично захищають ІТ-обладнання (сервери, маршрутизатори, кабелі і т. д.) від несанкціонованого доступу, крадіжки перешкод, пожеж, повеней і т. д., і забезпечують, щоб основні ресурси (наприклад, електроенергія) є достатніми, щоб звести до мінімуму можливість зриву. Це звичайно досягається шляхом обслуговування хмарних додатків від «світового класу» (тобто професійно визначенні, спроектовані, побудовані, керовані, з відповідним моніторингом та підтримкою) центрів обробки даних.
Безпека персоналу
Різні проблеми інформаційної безпеки, пов'язані з ІТ та іншими фахівцями, пов'язаними з хмарними сервісами, як правило, такі як безпека відбору потенційних новобранців, питання безпеки та навчальних програм, проактивного моніторингу безпеки та нагляду, дисциплінарних процедур і договірні зобов'язання, включені в трудових договорах, угодах про рівень обслуговування, кодекси поведінки, політика тощо
Доступність
Провайдери хмарних сервісів повинні гарантувати, що клієнти можуть розраховувати на доступ до своїх даних і додатків, принаймні (невдачі в будь-якій точці — не тільки в рамках доменів хмарних сервісів — може порушити ланцюг зв'язку між користувачами і додатками).
Безпека додатків
Провайдери хмарних сервісів повинні гарантувати, що додатки, доступні як служби через хмарні технології (SaaS) є забезпечені документуванням, проектуванням, впровадженням, тестуванням і підтримкою належних заходів безпеки додатків у виробничому середовищі. Зверніть увагу, що — як і в будь-якому комерційному програмному забезпеченні — елементи управління, які воно здійснює, можливо, не завжди повною мірою передбачені всі ризики, і що вони не обов'язково визначили всі ризики, які хвилюють клієнтів. Отже, клієнтам також необхідно впевнитися в тому, що хмарні додатки адекватно забезпечені для своїх конкретних цілей.
Приватність
Провайдери гарантують, що всі критичні дані (номери кредитних карт, наприклад) маскуються або шифруються і що тільки авторизовані користувачі мають доступ до даних в цілому. Крім того, цифрові ідентифікатори і облікові дані повинні бути захищені як і будь-які дані, які постачальник збирає або генерує про діяльність клієнта в хмарі.

Ефективне шифрування

[ред. | ред. код]

Деякі передові алгоритми шифрування, які були застосовані в хмарних обчислень збільшують захист приватного життя.

Attribute-Based Encryption Algorithm

[ред. | ред. код]

Політика зашифрованого тексту ABE (CP-ABE)

[ред. | ред. код]

У CP-ABE, шифрування контролює стратегію доступу, а стратегія стає все більш комплексною, дизайн відкритого ключа системи стає більш складним, і безпека системи стає складнішою. Основна дослідницька робота CP-ABE орієнтована на проектування структури доступу.[15]

Політика генерування ключів ABE (KP-ABE)

[ред. | ред. код]

У KP-ABE, набори атрибутів використовуються для пояснення зашифрованих текстів та особистих ключів із зазначеними зашифрованими текстами, які користувачі зможуть розшифрувати.[16]

Узгодження

[ред. | ред. код]

Численні закони і правила стосуються збереження та використання даних. У США до них належать закони захисту персональних чи приватних даних, Payment Card Industry — Data Security Standard (PCI DSS), the Health Insurance Portability and Accountability Act (HIPAA), the Sarbanes-Oxley Act, the Federal Information Security Management Act of 2002 (FISMA), та Children's Online Privacy Protection Act of 1998, та інші.

Подібні закони можуть застосовуватися в різних правових системах і можуть відрізнятися досить помітно тих, що в США. Користувачі хмарних сервісів часто хочуть бути в курсі правових та нормативних відмінностей між юрисдикціями. Наприклад, дані, що зберігаються на постачальника хмарних послуг можуть бути розташовані, скажімо, в Сінгапурі і дзеркальні в США. [17]

Безперервність бізнесу і відновлення даних
Провайдери хмарних сервісів надають можливості для  безпереривного бізнесу та відновлення даних, щоб гарантувати, що обслуговування може підтримуватися у разі стихійного лиха чи надзвичайної ситуації, і що будь-які втрачені дані будуть відновлені.[18]
Логи та журнали аудиту
На додаток до виробництва логів та журналів аудиту, хмарні провайдери працюють зі своїми клієнтами, щоб переконатися, що ці журнали й аудиторські записи належним чином закріплені, підтримуватися до тих пір, поки клієнту це потрібно (e.g., eDiscovery).
Унікальні вимоги погодження

На додаток до вимог, які клієнту пропонують центри обробки даних, використовувані провайдерами хмарних сервісів також можуть бути визначенні вимог дотримання умов використання. Використання постачальника хмарних послуг (CSP), може призвести до додаткових проблем безпеки навколо юрисдикції даних, оскільки дані про клієнтів або орендарів не можуть залишатися в тій же системі, або в одному центрі обробки даних або навіть в межах одного і того ж хмарного провайдера.:[19]

Юридичні та договірні питання

[ред. | ред. код]

Крім питань безпеки та дотримання перерахованих вище вимог, хмарними провайдерами та їх клієнтами варто обговорити умови навколо відповідальності (що передбачаєть при інцидентах, пов'язаних з втратою даних, наприклад), інтелектуальнох власності, і на кінець в обслуговуванні (коли дані і додатки, в кінцевому рахунку повертається клієнтові). Крім того, існують інструкції для отримання даних із хмари, які можуть брати участь у судовомих процесах.[20] Ці питання описані в угоді про рівень послуг (SLA).

Публічні записи

[ред. | ред. код]

Юридичні питання можуть також включати в себе вимоги по підтриманню записів в державному секторі, де багато установ відповідно до законодавства, щоб зберегти і зробити доступними електронні записи в певному вигляді. Державні органи, що використовують хмарні обчислення і зберігання повинні приймати ці інструкції до уваги.

Посилання

[ред. | ред. код]
  1. а б в г Haghighat, M., Zonouz, S., & Abdel-Mottaleb, M. (2015).
  2. а б Srinavasin, Madhan (2012). 'State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment. ACM ICACCI'.
  3. Swamp Computing a.k.a. Cloud Computing. Web Security Journal. 28 грудня 2009. Архів оригіналу за 31 серпня 2019. Процитовано 25 січня 2010.
  4. Top Threats to Cloud Computing v1.0 (PDF). Cloud Security Alliance. Архів оригіналу (PDF) за 28 вересня 2018. Процитовано 20 жовтня 2014.
  5. Multi-Cloud Management: Tools, Challenges and Best Practices. Insights on Latest Technologies - Simform Blog (амер.). 21 січня 2021. Архів оригіналу за 13 травня 2021. Процитовано 2 липня 2021.
  6. Winkler, Vic. Cloud Computing: Virtual Cloud Security Concerns. Technet Magazine, Microsoft. Архів оригіналу за 1 травня 2012. Процитовано 12 лютого 2012.
  7. Hickey, Kathleen. Dark Cloud: Study finds security risks in virtualization. Government Security News. Архів оригіналу за 30 січня 2012. Процитовано 12 лютого 2012.
  8. Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. с. 59. ISBN 978-1-59749-592-9. Архів оригіналу за 29 липня 2012. Процитовано 27 листопада 2015.
  9. а б Krutz, Ronald L., and Russell Dean Vines.
  10. Gartner: Seven cloud-computing security risks. InfoWorld. 2 липня 2008. Архів оригіналу за 6 вересня 2014. Процитовано 25 січня 2010.
  11. Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011. Процитовано 4 травня 2011.[недоступне посилання з травня 2019]
  12. Cloud Security Front and Center. Forrester Research. 18 листопада 2009. Архів оригіналу за 24 листопада 2009. Процитовано 25 січня 2010.
  13. Cloud Access Security Brokers (CASBs) - Gartner IT Glossary. Архів оригіналу за 17 листопада 2015. Процитовано 1 жовтня 2015.
  14. Identity Management in the Cloud. Information Week. 25 жовтня 2013. Архів оригіналу за 2 грудня 2015. Процитовано 5 червня 2013.
  15. SU, Jin-Shu; CAO, Dan; WANG, Xiao-Feng; SUN, Yi-Pin; HU, Qiao-Lin. Attribute-Based Encryption Schemes. Journal of Software. Т. 22, № 6. с. 1299—1315. doi:10.3724/sp.j.1001.2011.03993.{{cite news}}: Обслуговування CS1: Сторінки з параметром url-status, але без параметра archive-url (посилання)
  16. Attrapadung, Nuttapong; Herranz, Javier; Laguillaumie, Fabien; Libert, Benoît; de Panafieu, Elie; Ràfols, Carla (9 березня 2012). Attribute-based encryption schemes with constant-size ciphertexts. Theoretical Computer Science. Т. 422. с. 15—38. doi:10.1016/j.tcs.2011.12.004. Архів оригіналу за 6 жовтня 2017. Процитовано 27 листопада 2015.
  17. Managing legal risks arising from cloud computing. DLA Piper. Архів оригіналу за 15 липня 2015. Процитовано 22 листопада 2014.
  18. It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery. Dell.com. Архів оригіналу за 15 травня 2012. Процитовано 26 березня 2012.
  19. Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. с. 65, 68, 72, 81, 218—219, 231, 240. ISBN 978-1-59749-592-9. Архів оригіналу за 29 липня 2012. Процитовано 27 листопада 2015.
  20. Adams, Richard (2013). 'The emergence of cloud storage and the need for a new digital forensic process model (PDF). Murdoch University. Архів оригіналу (PDF) за 5 квітня 2016. Процитовано 27 листопада 2015.

Примітки

[ред. | ред. код]