Ειδικοί κίνδυνοι ασφαλείας στο περιβάλλον του υβριδικού Cloud - ανδρείκελα

Οι εταιρείες που εργάζονται σε περιβάλλοντα υβριδικών σύννεφων πρέπει να εξετάζουν πολλούς τύπους κινδύνων ασφάλειας και διακυβέρνησης. Η κατανόηση της ασφάλειας είναι ένας κινούμενος στόχος. Η εκπαίδευση είναι το κλειδί για να εξασφαλιστεί ότι όλοι οι οργανισμοί κατανοούν τους ρόλους και τις ευθύνες ασφαλείας.

Κίνδυνοι ασφάλειας υπολογιστών

Σύμφωνα με το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST), ένας κυβερνητικός οργανισμός προτύπων, τα συστήματα υπολογιστών υπόκεινται σε πολλές απειλές, από την απώλεια δεδομένων έως την απώλεια μιας ολόκληρης υπολογιστικής εγκατάστασης λόγω πυρκαγιάς ή φυσική καταστροφή. Αυτές οι απώλειες μπορεί να προέρχονται από αξιόπιστους υπαλλήλους ή από χάκερ.

Σφάλματα και παραλείψεις, συμπεριλαμβανομένων των σφαλμάτων δεδομένων ή των σφαλμάτων προγραμματισμού

Απάτη και κλοπή
Σάββατο
Απώλεια υποστήριξης υλικής υποδομής
Κακόβουλοι χάκερ
Κακόβουλος κώδικας
Απειλές κατά της ιδιωτικής ζωής
Κίνδυνοι ασφάλειας υβριδικού cloud

Πολλοί από τους ίδιους κινδύνους για την ασφάλεια που αντιμετωπίζουν οι εταιρείες όταν ασχολούνται με τα δικά τους συστήματα υπολογιστών βρίσκονται στο σύννεφο, αλλά υπάρχουν κάποιες σημαντικές ανατροπές. Η "Συμμαχία Ασφάλειας Cloud" (CSA), ένας οργανισμός αφιερωμένος στη διασφάλιση βέλτιστων πρακτικών ασφαλείας στο σύννεφο, σημείωσε στην πρόσφατη δημοσίευσή της "Οδηγίες ασφαλείας για κρίσιμες περιοχές εστίασης στον Cloud Computing" ότι σημαντικοί τομείς λειτουργικού κινδύνου ασφάλειας στο σύννεφο περιλαμβάνουν τα ακόλουθα:

Παραδοσιακή ασφάλεια:

Ένα περιβάλλον υβριδικού cloud αλλάζει την παραδοσιακή ασφάλεια επειδή δεν είστε πλέον απόλυτα σε πλήρη έλεγχο. Ορισμένα από τα υπολογιστικά στοιχεία που χρησιμοποιείτε δεν είναι στην έδρα σας. Τώρα πρέπει να διασφαλίσετε ότι ακολουθούν ισχυρά παραδοσιακά μέτρα ασφαλείας από τον πάροχο σύννεφων. Η φυσική ασφάλεια
- καλύπτει την ασφάλεια εξοπλισμού πληροφορικής, περιουσιακών στοιχείων δικτύου και τηλεπικοινωνιακής υποδομής. Η CSA συνιστά τόσο «ενεργητική όσο και παθητική» άμυνα για φυσική ασφάλεια. Η ασφάλεια των ανθρώπινων πόρων
- ασχολείται με την πλευρά των ανθρώπων της εξίσωσης - εξασφαλίζοντας τους ελέγχους του ιστορικού, την εμπιστευτικότητα και τον διαχωρισμό των καθηκόντων (δηλαδή εκείνοι που αναπτύσσουν εφαρμογές δεν τους λειτουργούν). Τα σχέδια σχετικά με τη συνέχεια της λειτουργίας
- πρέπει να αποτελούν μέρος οποιασδήποτε συμφωνίας επιπέδου υπηρεσιών για να διασφαλιστεί ότι ο πάροχος πληροί τη συμφωνία παροχής υπηρεσιών για συνεχή λειτουργία μαζί σας. Τα σχέδια αποκατάστασης καταστροφών
- πρέπει να διασφαλίζουν ότι τα στοιχεία σας (π.χ. δεδομένα και εφαρμογές) προστατεύονται. Λειτουργία συμβάντων:
Ένα περιβάλλον υβριδικού νέφους αλλάζει τον χειρισμό περιστατικών τουλάχιστον με δύο τρόπους. Πρώτον, ενώ μπορεί να έχετε τον έλεγχο του δικού σας κέντρου δεδομένων, εάν συμβεί κάποιο συμβάν, θα πρέπει να συνεργαστείτε με τον παροχέα υπηρεσιών σας, επειδή ο πάροχος υπηρεσιών ελέγχει τουλάχιστον μέρος της υποδομής. Δεύτερον, η πολυεπίπεδη φύση του σύννεφου καθιστά πολύ πιο πολύπλοκη τη διερεύνηση ενός περιστατικού. Για παράδειγμα, επειδή οι πληροφορίες μπορούν να συγχωνευθούν, η ανάλυση του αρχείου καταγραφής μπορεί να είναι δύσκολη, καθώς ο φορέας παροχής υπηρεσιών προσπαθεί να διατηρήσει την ιδιωτικότητα. Πρέπει να μάθετε πώς ο παροχέας υπηρεσιών σας ορίζει ένα περιστατικό και βεβαιωθείτε ότι μπορείτε να διαπραγματευτείτε πώς θα συνεργαστείτε με τον πάροχο για να βεβαιωθείτε ότι όλοι είναι ικανοποιημένοι.

Ασφάλεια εφαρμογής:
Όταν μια εφαρμογή βρίσκεται στο σύννεφο, εκτίθεται σε κάθε είδους απειλή ασφάλειας. Η CSA χωρίζει την ασφάλεια εφαρμογών σε διάφορους τομείς, συμπεριλαμβανομένης της διασφάλισης του κύκλου ζωής του λογισμικού ανάπτυξης στο σύννεφο. πιστοποίηση ταυτότητας, εξουσιοδότηση και συμμόρφωση · διαχείριση ταυτότητας, διαχείριση άδειας εφαρμογής, παρακολούθηση εφαρμογών, δοκιμές διείσδυσης εφαρμογών και διαχείριση κινδύνου. Κρυπτογράφηση και διαχείριση κλειδιών:
Η κρυπτογράφηση δεδομένων αναφέρεται σε ένα σύνολο αλγορίθμων που μπορούν να μετατρέψουν το κείμενο σε μια μορφή που ονομάζεται cyphertext, η οποία είναι μια κρυπτογραφημένη μορφή απλού κειμένου που τα μη εξουσιοδοτημένα μέρη δεν μπορούν να διαβάσουν. Ο παραλήπτης ενός κρυπτογραφημένου μηνύματος χρησιμοποιεί ένα κλειδί που ενεργοποιεί τον αλγόριθμο για την αποκρυπτογράφηση των δεδομένων και την παράδοση στην αρχική του κατάσταση στον εξουσιοδοτημένο χρήστη. Επομένως, μπορείτε να κρυπτογραφήσετε τα δεδομένα και να διασφαλίσετε ότι μόνο ο προορισμένος παραλήπτης μπορεί να το αποκρυπτογραφήσει. Στο δημόσιο σύννεφο, ορισμένοι οργανισμοί ενδέχεται να μπουν στον πειρασμό να κρυπτογραφήσουν όλες τις πληροφορίες τους επειδή ανησυχούν για την κίνησή τους στο σύννεφο και πόσο ασφαλές είναι όταν βρίσκονται στο σύννεφο. Πρόσφατα, εμπειρογνώμονες στον τομέα έχουν αρχίσει να εξετάζουν άλλα μέτρα ασφαλείας εκτός από την κρυπτογράφηση που μπορεί να χρησιμοποιηθεί στο σύννεφο.

Διαχείριση ταυτότητας και πρόσβασης:
Η διαχείριση ταυτότητας είναι ένα πολύ ευρύ θέμα που ισχύει για πολλές περιοχές του κέντρου δεδομένων. Ο στόχος της διαχείρισης ταυτότητας είναι ο έλεγχος της πρόσβασης σε πόρους, εφαρμογές, δεδομένα και υπηρεσίες υπολογιστών. Η διαχείριση ταυτότητας αλλάζει σημαντικά στο σύννεφο. Σε ένα παραδοσιακό κέντρο δεδομένων, μπορείτε να χρησιμοποιήσετε μια υπηρεσία καταλόγου για έλεγχο ταυτότητας και, στη συνέχεια, να αναπτύξετε την εφαρμογή σε ασφαλή ζώνη τείχους προστασίας. Το σύννεφο συχνά απαιτεί πολλαπλές μορφές ταυτότητας για να διασφαλίσει ότι η πρόσβαση στους πόρους είναι ασφαλής.

Με την αυξανόμενη χρήση του cloud computing, της ασύρματης τεχνολογίας και των κινητών συσκευών, δεν έχετε πλέον καλά καθορισμένα όρια όσον αφορά το εσωτερικό και το εξωτερικό των συστημάτων σας. Πρέπει να αξιολογήσετε αν υπάρχουν τρύπες ή τρωτά σημεία σε όλους τους διακομιστές, το δίκτυο, τα τμήματα υποδομής και τα τελικά σημεία και στη συνέχεια να τα παρακολουθείτε συνεχώς. Με άλλα λόγια, πρέπει να είστε σε θέση να εμπιστεύεστε τη δική σας υποδομή καθώς και την υποδομή ενός παρόχου σύννεφο.